Компанията за софтуер за отдалечен достъп TeamViewer предупреждава, че корпоративната ѝ среда е била пробита при кибератака вчера, като фирма за киберсигурност твърди, че тя е била извършена от хакерска група от типа APT.
„В сряда, 26 юни 2024 г., нашият екип по сигурността откри нередност във вътрешната корпоративна ИТ среда на TeamViewer“, заяви TeamViewer в публикация в своя Trust Center.
„Незабавно активирахме нашия екип и процедури за реагиране, започнахме разследвания заедно с екип от световноизвестни експерти по киберсигурност и приложихме необходимите мерки за отстраняване на нередностите.“
„Вътрешната корпоративна ИТ среда на TeamViewer е напълно независима от продуктовата среда. Няма доказателства, които да предполагат, че продуктовата среда или данните на клиентите са засегнати. Разследванията продължават и основният ни фокус остава гарантирането на целостта на нашите системи.“
Компанията заявява, че планира да бъде прозрачна по отношение на нарушението и непрекъснато ще актуализира състоянието на разследването си при получаване на повече информация.
Въпреки че казват, че се стремят да бъдат прозрачни обаче, страницата „TeamViewer IT security update“ съдържа <meta name=“robots“ content=“noindex“> HTML таг, който не позволява документът да бъде индексиран от търсачките и по този начин е труден за намиране.
TeamViewer е много популярен софтуер за отдалечен достъп, който позволява на потребителите да управляват отдалечено компютър и да го използват така, сякаш седят пред устройството. Компанията твърди, че понастоящем нейният продукт се използва активно от над 640 000 клиенти в цял свят и е инсталиран на над 2,5 милиарда устройства, откакто е пуснат на пазара.
Въпреки че TeamViewer заявява, че няма доказателства, че средата на продукта или данните на клиентите са били нарушени, масовото му използване както в потребителска, така и в корпоративна среда прави всеки пробив сериозен проблем, тъй като той би осигурил пълен достъп до вътрешните мрежи.
През 2019 г. TeamViewer потвърди нарушение от 2016 г., свързано с китайски заплахи, поради използването от тях на задната врата Winnti. Компанията заяви, че не е разкрила нарушението по това време, тъй като при атаката не са били откраднати данни.
Новината за пробива беше съобщена първо на Mastodon от специалиста по ИТ сигурност Джефри, който сподели части от предупреждение, споделено в холандския Център за цифрово доверие – уеб портал, използван от правителството, експерти по сигурността и холандски корпорации за обмен на информация за заплахи за киберсигурността.
„Екипът за глобално разузнаване на заплахите на NCC Group беше уведомен за значителен компрометиран достъп до платформата за отдалечен достъп и поддръжка TeamViewer от APT група“, се предупреждава в известието от фирмата за ИТ сигурност NCC Group.
„Поради широкото използване на този софтуер следното предупреждение се разпространява по сигурен начин до нашите клиенти.“
Сигнал от Health-ISAC, общност за здравни специалисти за обмен на разузнавателна информация за заплахите, също предупреди днес, че се твърди, че услугите на TeamViewer са активно обект на руската хакерска група APT29, известна още като Cozy Bear, NOBELIUM и Midnight Blizzard.
„На 27 юни 2024 г. Health-ISAC получи информация от доверен разузнавателен партньор, че APT29 активно експлоатира Teamviewer“, се казва в предупреждението на Health-ISAC, споделено от Джефри.
„Health-ISAC препоръчва да се прегледат регистрационните файлове за всеки необичаен трафик от отдалечен работен плот. Наблюдавани са заплахи, които използват инструменти за отдалечен достъп. Наблюдавано е, че Teamviewer се експлоатира от хакери, свързани с APT29.“
APT29 е руска група за напреднали постоянни заплахи, свързана със Службата за външно разузнаване (СВР) на Русия. Хакерската група е известна със способностите си за кибершпионаж и е свързана с множество атаки през годините, включително атаки срещу западни дипломати и неотдавнашен пробив в корпоративната среда за електронна поща на Microsoft.
Въпреки че предупрежденията от двете компании идват днес, точно когато TeamViewer разкри инцидента, не е ясно дали са свързани, тъй като предупрежденията на TeamViewer и NCC са насочени към корпоративния пробив, докато предупреждението на Health-ISAC се фокусира повече върху насочването към връзките на TeamViewer.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.