Dezvoltatorul de software RMM TeamViewer spune că un grup de hackeri susținut de statul rus, cunoscut sub numele de Midnight Blizzard, este considerat a fi responsabil pentru o violare a rețelei lor corporative săptămâna aceasta.
Ieri, BleepingComputer a raportat că TeamViewer a fost afectat și că experți în securitate cibernetică și organizații de sănătate au început să avertizeze clienții și organizațiile să-și monitorizeze conexiunile.
TeamViewer este folosit pe scară largă de întreprinderi și consumatori pentru monitorizarea și gestionarea la distanță a dispozitivelor din rețelele interne. Deoarece amploarea incidentului de securitate cibernetică nu era cunoscută, experții au început să avertizeze părțile interesate să monitorizeze conexiunile suspecte care ar putea indica încercări ale actorilor malefici de a folosi violarea TeamViewer pentru a obține acces la alte rețele.
Astăzi, TeamViewer a comunicat un comunicat actualizat către BleepingComputer, declarând că atribuie atacul lui Midnight Blizzard (APT29, Nobelium, Cozy Bear).
TeamViewer spune că ei consideră că rețeaua corporativă internă, nu mediul lor de producție, a fost violată miercuri, 26 iunie, folosind credențialele unui angajat.
„Concluziile actuale ale investigației indică un atac miercuri, 26 iunie, legat de credențialele unui cont standard de angajat în cadrul mediului nostru IT corporativ”, se arată în declarația actualizată a TeamViewer.
„Bazându-ne pe monitorizarea continuă a securității, echipele noastre au identificat un comportament suspect al acestui cont și au pus imediat în aplicare măsuri de răspuns la incident. Împreună cu suportul nostru extern pentru răspuns la incidente, atribuim în prezent această activitate actorului cunoscut sub numele de APT29 / Midnight Blizzard”.
Compania a subliniat că investigația lor nu a arătat nicio indicație că mediul de producție sau datele clienților au fost accesate în cadrul atacului și că mențin rețeaua corporativă și mediul de producție izolate unul față de celălalt.
„Urmând arhitectura celor mai bune practici, avem o segregare puternică a IT-ului corporativ, a mediului de producție și a platformei de conectivitate TeamViewer în loc”, continuă declarația TeamViewer.
„Acest lucru înseamnă că menținem toate serverele, rețelele și conturile strict separate pentru a ajuta la prevenirea accesului neautorizat și la mișcarea laterală între diferitele medii. Această segregare este unul dintre multiplele straturi de protecție în abordarea noastră ‘defensivă în adâncime’”.
Deși aceasta este reconfortant pentru clienții TeamViewer, este obișnuit ca în incidente de acest gen să apară mai multe informații pe măsură ce investigația progresează. Acest lucru este cu atât mai adevărat pentru un actor malefic atât de avansat precum Midnight Blizzard.
Prin urmare, se recomandă ca toți clienții TeamViewer să activeze autentificarea multifactorială, să configureze o listă de permisiuni și blocare astfel încât doar utilizatorii autorizați să poată face conexiuni și să-și monitorizeze conexiunile de rețea și jurnalele TeamViewer.
BleepingComputer a contactat TeamViewer cu mai multe întrebări despre cine asistă la investigație și cum au fost compromiși angajații, dar nu a primit încă un răspuns în acest moment.
Rețeaua corporativă a TeamViewer a fost violată în presupusul hack APT
SUA acuză un hacker GRU rus, oferă o recompensă de 10 milioane de dolari
SUA impun sancțiuni pentru 12 executivi Kaspersky Lab pentru lucrul în sectorul tehnologic rusesc
Biden interzice software-ul antivirus Kaspersky în SUA din motive de securitate
Atacuri DDoS vizează partide politice UE pe măsură ce încep alegerile
Leave a Reply