Разработчикът на софтуер за RMM TeamViewer съобщава, че зад пробива в корпоративната им мрежа тази седмица стои спонсорирана от руската държава хакерска група, известна като Midnight Blizzard.

TeamViewer се използва широко от предприятия и потребители за дистанционно наблюдение и управление (RMM) на устройства във вътрешни мрежи. Тъй като обхватът на инцидента в областта на киберсигурността не беше известен, експертите започнаха да предупреждават заинтересованите страни да следят за подозрителни връзки, които биха могли да означават, че заплахи се опитват да използват пробива в TeamViewer, за да получат достъп до други мрежи.

Днес TeamViewer сподели актуализирано изявление, в което се посочва, че те приписват атаката на Midnight Blizzard (APT29, Nobelium, Cozy Bear).

От TeamViewer заявяват, че според тях вътрешната им корпоративна мрежа, а не производствената им среда, е била пробита в сряда, 26 юни, като са били използвани идентификационните данни на служител.

„Настоящите резултати от разследването сочат към атака в сряда, 26 юни, свързана с идентификационните данни на стандартен акаунт на служител в рамките на нашата корпоративна ИТ среда“, се казва в актуализираното изявление на TeamViewer.

„Въз основа на непрекъснатия мониторинг на сигурността нашите екипи идентифицираха подозрително поведение на този акаунт и незабавно приложиха мерки за реакция при инциденти. Заедно с нашата външна подкрепа за реагиране на инциденти понастоящем приписваме тази дейност на  заплахата, известна като APT29 / Midnight Blizzard.“

От компанията подчертават, че разследването им не е показало индикации, че при атаката е получен достъп до производствената среда или до данни на клиенти, и че държат корпоративната си мрежа и продуктовата среда изолирани една от друга.

„Следвайки архитектурата на най-добрите практики, ние сме въвели силно разделение на корпоративните ИТ, производствената среда и платформата за свързаност на TeamViewer“, продължава изявлението на TeamViewer.

„Това означава, че държим всички сървъри, мрежи и акаунти строго отделени, за да помогнем за предотвратяване на неоторизиран достъп и странично движение между различните среди. Това разделяне е едно от многобройните нива на защита в нашия подход „защита в дълбочина“.“

Макар това да е успокоително за клиентите на TeamViewer, при подобни инциденти е обичайно повече информация да излиза наяве по-късно с напредването на разследването. Това е особено вярно за толкова напреднала заплаха, каквато е Midnight Blizzard.

Затова се препоръчва всички клиенти на TeamViewer да активират многофакторна автентикация, да създадат списък с разрешения и блокирания, така че само оторизирани потребители да могат да осъществяват връзки, и да наблюдават мрежовите си връзки и логовете на TeamViewer.

Midnight Blizzard

Midnight Blizzard (известна още като Cozy Bear, Nobelium и APT29) е усъвършенствана държавно спонсорирана хакерска група, за която се смята, че е свързана със Службата за външно разузнаване (СВР) на Русия.

Хакерите от тази група са свързани с широк спектър от атаки, предимно свързани с кибершпионаж, при които пробиват правителствени и корпоративни мрежи, за да крадат безшумно данни и да наблюдават комуникациите.

Правителството на САЩ свързва хакерската група с прословутата атака по веригата за доставки на SolarWinds през 2020 г., при която извършителите са проникнали в компанията, за да получат достъп до нейната среда за разработчици. Оттам те са добавили злонамерена задна врата към DLL файл на Windows, който след това е бил спуснат на клиентите на SolarWinds в атака по веригата за доставки чрез платформа за автоматични актуализации.

Този DLL е позволил на бандитите да следят за цели с висока стойност, да пробиват мрежи и да крадат данни от техните среди.

Неотдавна Midnight Blizzard насочиха вниманието си към Microsoft в поредица от успешни кибератаки.

През 2023 г. членовете на групата проникнаха в корпоративните акаунти на Microsoft в Exchange Online, за да наблюдават и откраднат имейли от ръководството на компанията, екипите по киберсигурност и правните екипи. От особен интерес е, че според Microsoft първоначално те са се насочили към имейл акаунти, за да намерят информация, свързана с тях самите.

През март 2024 г. Microsoft заявява, че от  Midnight Blizzard отново са проникнали в системите им, като са използвали тайни, намерени в имейлите, които са били откраднати при предишния инцидент.

В рамките на този пробив Midnight Blizzard е получила достъп до някои от вътрешните си системи и хранилища с изходен код.

И при двата инцидента хакерите са използвали атаки с пръскане на пароли, за да проникнат в корпоративни акаунти, след което са използвали тези акаунти като трамплин към други акаунти и устройства в целевите системи.

Преди това Microsoft сподели насоки за реагиране и разследване на атаки от страна на Midnight Blizzard.