Znany dostawca powszechnie stosowanego oprogramowania do zdalnego dostępu pod koniec czerwca padł ofiarą hakerów. Zagrożenie, jak twierdzi firma, dotyczyło środowiska korporacyjnego TeamViewer, które zostało naruszone w wyniku cyberataku APT.
„W środę 26 czerwca 2024 r. nasz zespół ds. bezpieczeństwa wykrył nieprawidłowości w wewnętrznym korporacyjnym środowisku IT TeamViewer” – poinformowała firma. „Natychmiast podjęto działania: uruchomiono zespół reagowania, rozpoczęto dochodzenie z udziałem światowej klasy ekspertów ds. bezpieczeństwa cybernetycznego i wdrożono niezbędne środki zaradcze”. Firma zapewnia, że wewnętrzne środowisko IT jest całkowicie niezależne od środowiska produktu, a dane klientów pozostają bezpieczne. Dochodzenie jest w toku, a TeamViewer zobowiązało się do przejrzystości i regularnych aktualizacji dotyczących incydentu.
Mimo zapewnień firmy, wielu ekspertów wątpi w pełną przejrzystość dotyczącą zakresu cyberataku i zaleca użytkownikom oprogramowania wyjątkową czujność na wszelkie sygnały, wskazujące na możliwe naruszenie integralności połączeń. Niedługo po pierwszych wiadomościach o cyberatatku w sieci pojawiły się ostrzeżenia od NCC Group i Health-ISAC, które przestrzegały klientów o możliwym wykorzystaniu naruszenia bezpieczeństwa platformy do ataków. Zalecono przeglądanie dzienników zdarzeń w celu wykrycia nietypowego ruchu podczas obsługi zdalnego pulpitu.
Mimo, iż TeamViewer nie po raz pierwszy stał się celem ataków typu ATP (W 2019 roku firma potwierdziła naruszenie z 2016 roku, którego było dziełem chińskiej grupy hackerskiej), wciąż pozostaje jednym z najpopularniejszych rozwiązań do obsługi zdalnego dostępu. Na całym świecie z oprogramowania firmy korzystają setki tysięcy klientów, a zakres urządzeń, na których zainstalowane są produkty TeamViewer sięga ponad dwóch miliardów. To ogromna powierzchnia, która w sytuacji zagrożenia tak zaawansowanym atakiem stawia pod znakiem zapytania bezpieczeństwo olbrzymiej ilości wrażliwych danych, zarówno dotyczących organizacji komercyjnych, jak i instytucji o znaczeniu strategicznym.
Rosyjscy Hakerzy za cyberatakiem na TeamViewer
Kilka dni po czerwcowym incydencie, firma TeamViewer ogłosiła wyniki przeprowadzonych analiz i ponownie uspokajała, że nie ma dowodów na zagrożenie dla środowiska jego produktów lub danych klientów, a do naruszenia bezpieczeństwa doszło poprzez przejęcie konta jednego z pracowników IT. Szerokie zastosowanie rozwiązań firmy zarówno w środowiskach konsumenckich, jak i korporacyjnych sprawia jednak, że każde podobne naruszenie stanowi poważny problem bezpieczeństwa, otwierając cyberprzestępcom drzwi do pełnego dostępu do sieci wewnętrznych.
TeamViewer przypisał niedawny atak cybernetyczny rosyjskiej grupie hakerskiej Midnight Blizzard – znanej również pod nazwą APT29, Cosy Bear, NOBELIUM – sponsorowanej przez państwo rosyjskie i powiązanej z rosyjską Służbą Wywiadu Zagranicznego (SVR). Grupa dała się już poznać przy okazji cyberataków na zachodnich dyplomatów oraz niedawnego naruszenia korporacyjnego środowiska poczty elektronicznej firmy Microsoft.
Zamieć o północy
Midnight Blizzard to zaawansowana grupa hakerska, która na zlecenie Kremla poluje na informacje z systemów zachodnich przedsiębiorstw i agencji rządowych. Grupa intensyfikuje w ostatnim czasie swoje ataki, a ich głównymi obszarami działania są cyberszpiegostwo oraz włamy do sieci rządowych i korporacyjnych w celu kradzieży danych i monitorowania komunikacji. Amerykański rząd powiązał tę grupę z atakiem na łańcuch dostaw SolarWinds w 2020 roku. Hakerzy uzyskując dostęp do środowiska programistycznego firmy, dodali złośliwego backdoora do pliku DLL systemu Windows, który następnie został przekazany klientom SolarWinds poprzez platformę automatycznych aktualizacji. Te działania umożliwiły hakerom monitorowanie, włamywanie się do sieci i w efekcie – kradzież danych.
Niedawno natomiast Midnight Blizzard obrała sobie na cel firmę Microsoft. Na przestrzeni kilkunastu ostatnich miesięcy padła ona ofiarą serii udanych ataków. Pierwszym krokiem cyberprzestępców było włamanie do korporacyjnych kont Exchange Online Microsoftu w 2023 roku, które pozwoliło następnie na monitorowanie i kradzież e-maili personelu wysokiego szczebla firmy: kierownictwa, zespołów ds. cyberbezpieczeństwa oraz prawników. Naruszając w ten sposób integralność i poufność korespondencji, hakerzy uzyskiwali istotne i wrażliwe informacje na temat funkcjonowania samej firmy Microsoft. Do ponownego naruszenia systemów giganta z Redmond doszło w marcu 2024 roku. Tym razem hakerzy wykorzystali sekrety znalezione w skradzionych podczas wcześniejszego ataku e-mailach. Midnight Blizzard uzyskał wtedy dostęp do wewnętrznych systemów i repozytoriów kodu źródłowego firmy.
W obu przypadkach hakerzy wykorzystali ataki polegające na rozpylaniu haseł – wyjątkowo podstępnej i trudnej do wykrycia oraz naprawienia metody cyberataku – które pozwoliły im na uzyskanie nieautoryzowanego dostępu do kont firmowych. A następnie używali przejętych kont jako punktu wyjścia do ataków na kolejne konta i urządzenia w systemach docelowych. Doświadczenia Microsoftu pozwoliły na zebranie całkiem sporej dawki wskazówek dotyczących metod reagowania na ataki Midnight Blizzard i badania ich skutków. Niemniej jednak, nawet pewne przygotowanie organizacji i opracowanie strategii obronnych na sytuację ataku – jak pokazuje casus Microsoftu – może nie zabezpieczyć w pełni przed długoterminowymi następstwami incydentu bezpieczeństwa. A zagrożenie pozornie opanowane, może przynieść w przyszłości kolejne rozdziały niepokojących wydarzeń.
Mimo więc obecnych zapewnień TeamViewer, którego przedstawiciele twierdzą, że włamanie nie dotknęło środowiska produkcyjnego ani danych klientów oraz uspokajających gwarancji, że sieć korporacyjna firmy jest oddzielona od środowiska produktów, co zapobiega nieautoryzowanemu dostępowi i bocznemu przemieszczaniu się między różnymi środowiskami, nie dziwi poruszenie wśród ekspertów i samych użytkowników oprogramowania. W przypadku tak zaawansowanych ataków, realne szacunki strat mogą pojawić się dopiero po pewnym czasie.
Co to oznacza dla milionów użytkowników TeamViewer na całym świecie? Zważywszy, że jest to jeden z najpopularniejszych na rynku dostawców rozwiązań zdalnego dostępu, atmosfera niepokoju jest jak najbardziej uzasadniona. Zresztą sam TeamViewer zaleca klientom włączenie uwierzytelniania wieloskładnikowego, skonfigurowanie listy dozwolonych użytkowników oraz monitorowanie połączeń sieciowych i dzienników.
Atrakcyjna alternatywa dla TeamViewer
Pozycja i olbrzymie wpływy gigantów takich, jak TeamViewer, Citrix, czy Microsoft idą jak widać w parze z poziomem zagrożenia i adekwatnym do wielkości organizacji apetytem i zapalczywością cyberprzestępców. Dlatego, przy wyborze rozwiązań technologicznych, które tworzyć mają infrastrukturę zdalną naszego biznesu, nie warto kierować się wyłącznie poziomem popularności i siłą marketingowego rażenia wielkich graczy, ale rozsądną kalkulacją.
W ofercie TSplus znajduje się niezawodna i bezpieczna alternatywa dla TeamViewer – TSplus Remote Support. Pod względem funkcjonalności nie ustępuje rozwiązaniom konkurenta, a jest przy tym o wiele bardziej opłacalna. Cena zaczyna się już od 440 zł rocznie za jedno jednoczesne połączenie z nieograniczoną liczbą użytkowników i urządzeń. Dzięki Remote Support zyskasz najwyższy poziom bezpieczeństwa, ponieważ nasze zarządzane rozwiązanie SaaS z kompleksowym szyfrowaniem zapewnia pełną prywatność danych.
Ponadto Remote Support zapewnia płynne, bezproblemowe i wydajne zdalne wsparcie, łatwą konfigurację i obsługę zarówno w systemie Windows, jak i macOS.
Obsługa multisesji, bezpieczny transfer plików, dostęp nienadzorowany i funkcja Wake-On-Lan to zaledwie początek korzyści, jakimi możesz się cieszyć dzięki TSplus Remote Support.