Търсене
Close this search box.

Разработчикът на софтуер за RMM TeamViewer съобщава, че зад пробива в корпоративната им мрежа тази седмица стои спонсорирана от руската държава хакерска група, известна като Midnight Blizzard.

TeamViewer се използва широко от предприятия и потребители за дистанционно наблюдение и управление (RMM) на устройства във вътрешни мрежи. Тъй като обхватът на инцидента в областта на киберсигурността не беше известен, експертите започнаха да предупреждават заинтересованите страни да следят за подозрителни връзки, които биха могли да означават, че заплахи се опитват да използват пробива в TeamViewer, за да получат достъп до други мрежи.

Днес TeamViewer сподели актуализирано изявление, в което се посочва, че те приписват атаката на Midnight Blizzard (APT29, Nobelium, Cozy Bear).

От TeamViewer заявяват, че според тях вътрешната им корпоративна мрежа, а не производствената им среда, е била пробита в сряда, 26 юни, като са били използвани идентификационните данни на служител.

„Настоящите резултати от разследването сочат към атака в сряда, 26 юни, свързана с идентификационните данни на стандартен акаунт на служител в рамките на нашата корпоративна ИТ среда“, се казва в актуализираното изявление на TeamViewer.

„Въз основа на непрекъснатия мониторинг на сигурността нашите екипи идентифицираха подозрително поведение на този акаунт и незабавно приложиха мерки за реакция при инциденти. Заедно с нашата външна подкрепа за реагиране на инциденти понастоящем приписваме тази дейност на  заплахата, известна като APT29 / Midnight Blizzard.“

От компанията подчертават, че разследването им не е показало индикации, че при атаката е получен достъп до производствената среда или до данни на клиенти, и че държат корпоративната си мрежа и продуктовата среда изолирани една от друга.

„Следвайки архитектурата на най-добрите практики, ние сме въвели силно разделение на корпоративните ИТ, производствената среда и платформата за свързаност на TeamViewer“, продължава изявлението на TeamViewer.

„Това означава, че държим всички сървъри, мрежи и акаунти строго отделени, за да помогнем за предотвратяване на неоторизиран достъп и странично движение между различните среди. Това разделяне е едно от многобройните нива на защита в нашия подход „защита в дълбочина“.“

Макар това да е успокоително за клиентите на TeamViewer, при подобни инциденти е обичайно повече информация да излиза наяве по-късно с напредването на разследването. Това е особено вярно за толкова напреднала заплаха, каквато е Midnight Blizzard.

Затова се препоръчва всички клиенти на TeamViewer да активират многофакторна автентикация, да създадат списък с разрешения и блокирания, така че само оторизирани потребители да могат да осъществяват връзки, и да наблюдават мрежовите си връзки и логовете на TeamViewer.

Midnight Blizzard

Midnight Blizzard (известна още като Cozy Bear, Nobelium и APT29) е усъвършенствана държавно спонсорирана хакерска група, за която се смята, че е свързана със Службата за външно разузнаване (СВР) на Русия.

Хакерите от тази група са свързани с широк спектър от атаки, предимно свързани с кибершпионаж, при които пробиват правителствени и корпоративни мрежи, за да крадат безшумно данни и да наблюдават комуникациите.

Правителството на САЩ свързва хакерската група с прословутата атака по веригата за доставки на SolarWinds през 2020 г., при която извършителите са проникнали в компанията, за да получат достъп до нейната среда за разработчици. Оттам те са добавили злонамерена задна врата към DLL файл на Windows, който след това е бил спуснат на клиентите на SolarWinds в атака по веригата за доставки чрез платформа за автоматични актуализации.

Този DLL е позволил на бандитите да следят за цели с висока стойност, да пробиват мрежи и да крадат данни от техните среди.

Неотдавна Midnight Blizzard насочиха вниманието си към Microsoft в поредица от успешни кибератаки.

През 2023 г. членовете на групата проникнаха в корпоративните акаунти на Microsoft в Exchange Online, за да наблюдават и откраднат имейли от ръководството на компанията, екипите по киберсигурност и правните екипи. От особен интерес е, че според Microsoft първоначално те са се насочили към имейл акаунти, за да намерят информация, свързана с тях самите.

През март 2024 г. Microsoft заявява, че от  Midnight Blizzard отново са проникнали в системите им, като са използвали тайни, намерени в имейлите, които са били откраднати при предишния инцидент.

В рамките на този пробив Midnight Blizzard е получила достъп до някои от вътрешните си системи и хранилища с изходен код.

И при двата инцидента хакерите са използвали атаки с пръскане на пароли, за да проникнат в корпоративни акаунти, след което са използвали тези акаунти като трамплин към други акаунти и устройства в целевите системи.

Преди това Microsoft сподели насоки за реагиране и разследване на атаки от страна на Midnight Blizzard.

 

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!