Смята се, че корпоративната ИТ среда на TeamViewer е била достъпна за руски държавно спонсориран хакерски колектив, Midnight Blizzard
Компанията за софтуер за отдалечен достъп TeamViewer е претърпяла пробив в корпоративната си ИТ среда, който приписва на свързаните с руската държава хакери от Midnight Blizzard.
В изявление от 27 юни фирмата разкри, че на 26 юни екипът ѝ по сигурността е открил нередност във вътрешната ѝ корпоративна ИТ среда.
На 28 юни TeamViewer актуализира информацията за клиентите си, като предостави допълнителни подробности за естеството на нарушението, за което твърди, че е свързано с използване на компрометирани идентификационни данни за акаунти на служители за достъп до системите на компанията.
Вътрешният екип по сигурността на компанията, с подкрепата на неназована външна служба за реагиране на инциденти, приписа дейността на Midnight Blizzard, известна също като APT29, Cozy Bear или Nobelium.
Съобщава се, че групата има тесни връзки с руската служба за външно разузнаване (СВР) и е свързана с няколко високопрофилни кибератаки през последните години, включително неотдавнашната атака срещу корпоративната имейл система на Microsoft.
В актуализацията се добавя, че атаката е била ограничена в рамките на корпоративните системи на TeamViewer и няма данни за допълнителен достъп до продуктовата среда или данните на клиентите.
Пол Бишоф, защитник на неприкосновеността на личния живот на потребителите в Comparitech, отбеляза, че връзките на Midnight Blizzard с руските разузнавателни служби отличават групата от по-голямата част от финансово мотивираните колективи, като добави, че поради това е било жизненоважно TeamViewer да овладее неоторизирания достъп до корпоративната си среда.
„TeamViewer приписва атаката на Cozy Bear или ATP 29, спонсорирана от държавата руска хакерска група. Това не са обикновени, финансово мотивирани нападатели. За щастие, хакерите са проникнали само в корпоративната среда на TeamViewer, така че не би трябвало да се притесняваме за експлойти от типа „нулев ден“ в софтуера на TeamViewer“, обясни той.
„Служителите и клиентите на TeamViewer може да са изложени на риск от кражба на лични данни, но може да минат месеци, преди TeamViewer да завърши разследването, за да разбере кой е бил засегнат.“
В последната актуализация на сигурността от 30 юни TeamViewer потвърди предишните си изявления, като увери, че нарушението не е обхванало отделените среди или платформата за свързване TeamViewer.
TeamViewer успя да предостави допълнителни подробности за атаката, като заяви, че според текущите констатации при нея са били компрометирани имена, корпоративна информация за контакт и криптирани пароли на служителите за вътрешните системи на компанията.
Глен Чишолм, съосновател на специализираната в областта на сигурността на SaaS компания Obsidian, съобщи, че компрометирането на самоличността е чест вектор на атака, използван срещу SaaS компании като TeamViewer, като отбеляза, че разпространението на софтуера в корпоративните мрежи означава, че е жизненоважно пробивът да бъде овладян възможно най-скоро.
„Компрометирането на самоличността, което е основен фактор при инцидента с TeamViewer, е критичен компонент на повечето нарушения, които наблюдаваме в клиентски среди, като на него се дължат над 80 % от нарушенията на SaaS. Виждаме, че TeamViewer се внедрява от една на всеки три организации – така че гарантирането, че нарушението е овладяно, е първата голяма стъпка за компанията.“
TeamViewer заяви, че е работила с Microsoft за намаляване на рисковете, свързани с изтеклата информация, като добави, че в отговор на нарушението е повишила и сигурността на удостоверяването на служителите си.
„Рискът, свързан с криптираните пароли, съдържащи се в директорията, беше намален в сътрудничество с водещи експерти от нашия партньор за реакция при инциденти Microsoft“, добави компанията.
„Утвърдихме процедурите за удостоверяване на нашите служители до максимално ниво и въведохме допълнителни силни нива на защита. Освен това започнахме да възстановяваме вътрешнокорпоративната ИТ среда към напълно надеждно състояние.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.