کمپانی TeamViewer اعلام کرده که محیط سازمانی اونا در یک حمله ی هکری نقض شده و NCC Group هم اعلام کرده که یک APT پشت این هک هستش.
TeamViewer در یک پست در Trust Center اعلام کرده 26 ژوئن تیم امنیتیشون یسری موارد مشکوک رو در محیط IT داخلیشون شناسایی کرده. بلافاصله تیم واکنش وارد عمل شده و خط مشی هایی که داشتن رو اعمال کردن. در ادامه با تیمی از کارشناسان مشهور امنیت سایبری تحقیقات در خصوص این رخداد امنیتی رو آغاز کردن.
TeamViewer تأکید کرده که محیط IT داخلیشون کاملاً مجزا از محیط محصولِ و هیچ مدرکی هم وجود نداره که نشون بده محیط محصول یا دادههای مشتریهاشون تحت تأثیر قرار گرفته. تحقیقات در حال انجامه و تمرکز اصلیشون همچنان بر حفظ امنیت سیستمهاشونه.
شرکت گفته که قصد داره در خصوص این رخداد شفاف عمل کنه و وضعیت تحقیقات رو بصورت مداوم بروز کنه. اما صفحه ی TeamViewer IT security update شرکت حاوی تگ های زیر هستش که امکان ایندکس شدن توسط موتورهای جستجو رو نمیده.
|
1 |
<meta name="robots" content="noindex"> |
TeamViewer یک نرم افزار دسترسی از راه دور خیلی محبوب هستش که به کاربران این امکان رو میدن تا از راه دور کامپیوتر رو طوری کنترل کنن که انگار پشت سیستم نشستن. طبق گفته ی شرکت، 640 هزار مشتری در سراسر جهان دارن و برنامه اشون تا الان روی بیش از 2.5 میلیارد سیستم نصب شده و عمدتا هم برای پشتیبانی و رفع مشکلات سیستمها مورد استفاده قرار میگیره.
با اینکه TeamViewer اعلام کرده هیچ مدرکی دال بر نفوذ به محیط محصول یا اطلاعات مشتریان وجود نداره، اما استفاده گسترده از این نرمافزار در هر دو محیط مصرفکننده و سازمانی باعث میشه هرگونه نقضی، بدلیل امکان دسترسی کامل به شبکه های داخلی، نگرانی قابل توجهی ایجاد کنه.
شایان ذکر است در سال ۲۰۱۹، TeamViewer تایید کرد که در سال ۲۰۱۶ مورد حمله ی بازیگران تهدید چینی قرار گرفته. این حمله از طریق بکدور Winnti انجام شده بود. TeamViewer در اون زمان اعلام کرد که بدلیل سرقت نشدن اطلاعات، این نفوذ رو افشا نکرده بود.
خبر این نفوذ ابتدا توسط Jeffrey، متخصص امنیت اطلاعات، در شبکه اجتماعی Mastodon منتشر شد. ایشون بخشهایی از هشداری رو به اشتراک گذاشته بود که در Digital Trust Center هلند منتشر شده بود. این مرکز یک وب سایت هستش که توسط دولت، متخصصان امنیت و شرکتهای هلندی برای به اشتراک گذاشتن اطلاعات در مورد تهدیدات امنیت سایبری مورد استفاده قرار میگیره.
هشدار توسط شرکت NCC Group منتشر شده که در اون این شرکت اعلام کرده: تیم Global Threat Intelligenceاشون از نفوذ قابل توجه به پلتفرم دسترسی و پشتیبانی از راه دور TeamViewer توسط یک گروه APT مطلع شده. بدلیل استفاده گسترده از این نرمافزار، این هشدار بطور امن برای مشتریان ما ارسال میشه.
یک هشدار هم از Health-ISAC، که یک جامعه برای متخصصان مراقبتهای بهداشتی برای به اشتراک گذاشتن اطلاعات تهدیداتِ، منتشر و در اون ادعا شده که گروه هکری روسی APT29، که با نامهای Cozy Bear، NOBELIUM و Midnight Blizzard هم شناخته میشه، بطور فعال سرویسهای TeamViewer رو هدف قرار میده.
Health-ISAC توصیه کرده برای بررسی هرگونه ترافیک غیرعادی ریموت دسکتاپ، لاگها رو بررسی کنید. مشاهده شده که بازیگران تهدید از ابزارهای دسترسی از راه دور سوء استفاده میکنن. همچنین مشاهده شده که TeamViewer توسط بازیگران تهدیدی که با APT29 مرتبط هستن، مورد سوءاستفاده قرار گرفته.
APT29 یکAPT روسی است که به سرویس اطلاعات خارجی روسیه (SVR) مرتبط است. این گروه هکری بدلیل تواناییهای جاسوسی سایبری خودش مشهوره و در طول سالها با حملات متعددی از جمله حملات به دیپلماتهای غربی و نفوذ اخیر به محیط ایمیل سازمانی مایکروسافت مرتبط بوده.
در حالی که هشدارهای هر دو شرکت درست زمانی که TeamViewer این حادثه رو فاش کرده منتشر شدن، مشخص نیست که آیا این هشدارها مرتبط هستند یا نه، چون هشدارهای TeamViewer و NCC به نقض سازمانی اشاره میکنن، اما هشدار Health-ISAC بیشتر بر هدف قرار دادن اتصالات TeamViewer تمرکز داره.