Dalış Özeti:
- Küresel bir uzaktan erişim yazılımı sağlayıcısı olan TeamViewer, devlete bağlı tehdit grubu Midnight Blizzard’ın bir saldırının arkasında olduğunu söyledi. Tehlikeye atılmış bir çalışan hesabını kullanan siber saldırı Şirketin BT ağına erişim sağlamak için.
- Şirket, bilgisayar korsanlarının isimler, kurumsal iletişim bilgileri ve şifrelenmiş çalışan şifreleri de dahil olmak üzere TeamViewer çalışan dizini verilerini kopyalayabildiğini söyledi. Saldırı şirketin üretim ortamını, bağlantı platformunu veya herhangi bir müşteri verisini etkilemedi.
- TeamViewer, şifrelenmiş parolalara erişim riskini azaltmak için olay müdahale ortağı Microsoft ile birlikte çalıştığını söyledi; o zamandan beri çalışanlar için kimlik doğrulama prosedürlerini sertleştirdi. Şirket aynı zamanda dahili BT ortamını da yeniden inşa etmeye başladı.
Dalış İçgörüsü:
TeamViewer saldırısı, son aylarda Nobelium olarak bilinen gelişmiş kalıcı tehdit grubu Midnight Blizzard’a atfedilen son olay oldu.
Daha önce SolarWinds’e yönelik 2020 Sunburst saldırılarıyla bağlantısı bulunan grup, yakın zamanda şunları başlattı: Microsoft’a karşı şifre püskürtme saldırıları ve kritik olarak sömürülen JetBrains TeamCity’deki güvenlik açıkları.
Geçtiğimiz hafta Microsoft ek müşterilere bilgi verildi Midnight Blizzard’ın saldırılarının hedefi olmuşlardı. Midnight Blizzard bir kampanya başlattı şifre sprey saldırıları 2023’ten itibaren üst düzey Microsoft yöneticilerine yönelik saldırılar başladı ve bu saldırılar, hedef alınan takip saldırılarına yol açtı federal kurumlardan müşteri kimlik bilgileri ve diğer bulut müşterileri.
TeamViewer, bilgisayarları, dizüstü bilgisayarları, robotları, endüstriyel makineleri ve cep telefonlarını izleyebilen, yönetebilen, onarabilen ve bunlara erişebilen, yaygın olarak kullanılan bir uzaktan erişim aracıdır. Şirketin 640.000’den fazla abonesi var ve dünya çapında 2,5 milyardan fazla cihaza indirildi.
Perşembe günü NCC Grubu aldığını söyledi TeamViewer’ın tehlikeye atıldığına dair istihbaratve kuruluşları uzaktan erişim aracını ortamlarından çıkarmaları konusunda uyardı.
Mandiant’taki araştırmacılar Midnight Blizzard’ın gizlilik teknikleri kullanarak teknoloji firmalarını hedef aldığını ancak daha iddialı tedarik zinciri saldırıları yapmaktan korkmadığını söylüyor.
Google Cloud’un Mandiant baş analisti John Hultquist, e-posta yoluyla şunları söyledi: “Kremlin’de karar almayı besleyen istihbaratı bulmayı umdukları müşterilerine ulaşmak için teknoloji şirketlerinden geçiyorlar.” “Genellikle dış ilişkilerle ilgili bilgi arıyorlar, özellikle de Ukrayna’ya verilen desteğe vurgu yapıyorlar ve bu bilgi için hükümeti ve ilgili kuruluşları hedef alıyorlar.”