Разработчикът на софтуер за RMM TeamViewer съобщава, че зад пробива в корпоративната им мрежа тази седмица стои спонсорирана от руската държава хакерска група, известна като Midnight Blizzard.
TeamViewer се използва широко от предприятия и потребители за дистанционно наблюдение и управление (RMM) на устройства във вътрешни мрежи. Тъй като обхватът на инцидента в областта на киберсигурността не беше известен, експертите започнаха да предупреждават заинтересованите страни да следят за подозрителни връзки, които биха могли да означават, че заплахи се опитват да използват пробива в TeamViewer, за да получат достъп до други мрежи.
Днес TeamViewer сподели актуализирано изявление, в което се посочва, че те приписват атаката на Midnight Blizzard (APT29, Nobelium, Cozy Bear).
От TeamViewer заявяват, че според тях вътрешната им корпоративна мрежа, а не производствената им среда, е била пробита в сряда, 26 юни, като са били използвани идентификационните данни на служител.
„Настоящите резултати от разследването сочат към атака в сряда, 26 юни, свързана с идентификационните данни на стандартен акаунт на служител в рамките на нашата корпоративна ИТ среда“, се казва в актуализираното изявление на TeamViewer.
„Въз основа на непрекъснатия мониторинг на сигурността нашите екипи идентифицираха подозрително поведение на този акаунт и незабавно приложиха мерки за реакция при инциденти. Заедно с нашата външна подкрепа за реагиране на инциденти понастоящем приписваме тази дейност на заплахата, известна като APT29 / Midnight Blizzard.“
От компанията подчертават, че разследването им не е показало индикации, че при атаката е получен достъп до производствената среда или до данни на клиенти, и че държат корпоративната си мрежа и продуктовата среда изолирани една от друга.
„Следвайки архитектурата на най-добрите практики, ние сме въвели силно разделение на корпоративните ИТ, производствената среда и платформата за свързаност на TeamViewer“, продължава изявлението на TeamViewer.
„Това означава, че държим всички сървъри, мрежи и акаунти строго отделени, за да помогнем за предотвратяване на неоторизиран достъп и странично движение между различните среди. Това разделяне е едно от многобройните нива на защита в нашия подход „защита в дълбочина“.“
Макар това да е успокоително за клиентите на TeamViewer, при подобни инциденти е обичайно повече информация да излиза наяве по-късно с напредването на разследването. Това е особено вярно за толкова напреднала заплаха, каквато е Midnight Blizzard.
Затова се препоръчва всички клиенти на TeamViewer да активират многофакторна автентикация, да създадат списък с разрешения и блокирания, така че само оторизирани потребители да могат да осъществяват връзки, и да наблюдават мрежовите си връзки и логовете на TeamViewer.
Midnight Blizzard (известна още като Cozy Bear, Nobelium и APT29) е усъвършенствана държавно спонсорирана хакерска група, за която се смята, че е свързана със Службата за външно разузнаване (СВР) на Русия.
Хакерите от тази група са свързани с широк спектър от атаки, предимно свързани с кибершпионаж, при които пробиват правителствени и корпоративни мрежи, за да крадат безшумно данни и да наблюдават комуникациите.
Правителството на САЩ свързва хакерската група с прословутата атака по веригата за доставки на SolarWinds през 2020 г., при която извършителите са проникнали в компанията, за да получат достъп до нейната среда за разработчици. Оттам те са добавили злонамерена задна врата към DLL файл на Windows, който след това е бил спуснат на клиентите на SolarWinds в атака по веригата за доставки чрез платформа за автоматични актуализации.
Този DLL е позволил на бандитите да следят за цели с висока стойност, да пробиват мрежи и да крадат данни от техните среди.
Неотдавна Midnight Blizzard насочиха вниманието си към Microsoft в поредица от успешни кибератаки.
През 2023 г. членовете на групата проникнаха в корпоративните акаунти на Microsoft в Exchange Online, за да наблюдават и откраднат имейли от ръководството на компанията, екипите по киберсигурност и правните екипи. От особен интерес е, че според Microsoft първоначално те са се насочили към имейл акаунти, за да намерят информация, свързана с тях самите.
През март 2024 г. Microsoft заявява, че от Midnight Blizzard отново са проникнали в системите им, като са използвали тайни, намерени в имейлите, които са били откраднати при предишния инцидент.
В рамките на този пробив Midnight Blizzard е получила достъп до някои от вътрешните си системи и хранилища с изходен код.
И при двата инцидента хакерите са използвали атаки с пръскане на пароли, за да проникнат в корпоративни акаунти, след което са използвали тези акаунти като трамплин към други акаунти и устройства в целевите системи.
Преди това Microsoft сподели насоки за реагиране и разследване на атаки от страна на Midnight Blizzard.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.