Uzaktan erişim yazılım şirketi TeamViewer, kurumsal ortamının dün bir siber saldırıda ihlal edildiği konusunda uyarıyor; bir siber güvenlik firması bunun bir APT hack grubu tarafından yapıldığını iddia ediyor.
TeamViewer, Güven Merkezi’ne gönderdiği bir gönderide, “26 Haziran 2024 Çarşamba günü, güvenlik ekibimiz TeamViewer’ın dahili kurumsal BT ortamında bir düzensizlik tespit etti” ifadelerini kullandı.
“Müdahale ekibimizi ve prosedürlerimizi derhal etkinleştirdik, dünyaca ünlü siber güvenlik uzmanlarından oluşan bir ekiple birlikte soruşturmalara başladık ve gerekli iyileştirme önlemlerini uyguladık.”
“TeamViewer’ın dahili kurumsal BT ortamı, ürün ortamından tamamen bağımsızdır. Ürün ortamının veya müşteri verilerinin etkilendiğine dair bir kanıt yoktur. Soruşturmalar devam ediyor ve öncelikli odak noktamız sistemlerimizin bütünlüğünü sağlamak olmaya devam ediyor.”
Şirket, ihlal konusunda şeffaf olmayı planladığını ve daha fazla bilgi geldikçe soruşturmanın durumunu sürekli olarak güncelleyeceğini söylüyor.
Ancak şeffaf olmayı hedeflediklerini söyleseler de “TeamViewer BT güvenlik güncellemesi” sayfası Belgenin arama motorları tarafından dizine eklenmesini ve dolayısıyla bulunmasını zorlaştıran HTML etiketi.
TeamViewer, kullanıcıların bir bilgisayarı uzaktan kontrol etmelerine ve sanki cihazın önünde oturuyormuş gibi kullanmalarına olanak tanıyan çok popüler bir uzaktan erişim yazılımıdır. Şirket, ürününün şu anda dünya çapında 640.000’den fazla müşteri tarafından kullanıldığını ve şirketin piyasaya sürülmesinden bu yana 2,5 milyardan fazla cihaza yüklendiğini söylüyor.
TeamViewer, ürün ortamının veya müşteri verilerinin ihlal edildiğine dair hiçbir kanıt olmadığını belirtirken, hem tüketici hem de kurumsal ortamlardaki yoğun kullanımı, dahili ağlara tam erişim sağlayacağı için herhangi bir ihlali önemli bir endişe kaynağı haline getiriyor.
Saldırının arkasında APT grubunun olduğu iddiası
İhlal haberi ilk olarak Mastodon’da, hükümet, güvenlik uzmanları ve Hollandalı şirketler tarafından siber güvenlik tehditleri hakkında bilgi paylaşmak için kullanılan bir web portalı olan Dutch Digital Trust Center’da paylaşılan bir uyarının bölümlerini paylaşan BT güvenlik uzmanı Jeffrey tarafından bildirildi.
BT güvenlik firması NCC Group’tan gelen bir uyarıda, “NCC Grubu Küresel Tehdit İstihbaratı ekibi, TeamViewer uzaktan erişim ve destek platformunun bir APT grubu tarafından önemli ölçüde tehlikeye atıldığı konusunda bilgilendirildi” uyarısında bulunuyor.
“Bu yazılımın yaygın kullanımı nedeniyle aşağıdaki uyarı müşterilerimize güvenli bir şekilde iletilmektedir.”
Sağlık profesyonellerinin tehdit istihbaratını paylaşmasına yönelik bir topluluk olan Health-ISAC’den gelen bir uyarı da bugün, TeamViewer hizmetlerinin Rus bilgisayar korsanlığı grubu APT29, diğer adıyla Cozy Bear tarafından aktif olarak hedef alındığı iddiası konusunda uyardı.
Jeffrey’nin paylaştığı Health-ISAC uyarısında, “27 Haziran 2024’te Health-ISAC, güvenilir bir istihbarat ortağından APT29’un Teamviewer’ı aktif olarak kullandığına dair bilgi aldı” ifadeleri yer alıyor.
“Health-ISAC, olağandışı uzak masaüstü trafiği için günlüklerin incelenmesini öneriyor. Tehdit aktörlerinin uzaktan erişim araçlarından yararlandığı gözlemlendi. Teamviewer’ın, APT29 ile ilişkili tehdit aktörleri tarafından istismar edildiği gözlemlendi.”
APT29, Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağlı bir Rus gelişmiş kalıcı tehdit grubudur. Bilgisayar korsanlığı grubu, Batılı diplomatlara yönelik saldırılar ve yakın zamanda Microsoft’un kurumsal e-posta ortamının ihlali de dahil olmak üzere yıllar boyunca çok sayıda saldırıyla ilişkilendirildi.
TeamViewer’ın olayı açıkladığı gibi her iki şirketten de uyarılar bugün gelse de, TeamViewer ve NCC’nin uyarıları kurumsal ihlali ele aldığından bunların birbiriyle bağlantılı olup olmadığı belirsiz. Sağlık-ISAC uyarısı ise daha çok TeamViewer bağlantılarını hedeflemeye odaklanıyor.
BleepingComputer, saldırıyla ilgili soruları için TeamViewer ile iletişime geçti ancak olayı araştırırken daha fazla bilgi paylaşılmayacağı söylendi.
NCC Grubu, ihlal ve bunun APT29 ile bağlantısı hakkında daha fazla bilgi taleplerimize yanıt vermedi.