著名遠控軟件TeamViewer IT系統遭APT攻陷,安全專家建議暫時刪除
責編:gltian |2024-07-02 14:01:41國際知名遠程連接軟件廠商TeamViewer上周五確認,一家極其活躍的俄羅斯黑客組織在上周早些時候入侵了其公司IT環境。
在最新聲明中,該公司將最近宣布的事件歸咎于APT29。這家黑客組織又叫Cozy Bear、BlueBravo和Midnight Blizzard。據信,該組織隸屬于俄羅斯的對外情報局(SVR),參與了過去十年中幾起最重要的黑客事件,包括2020年的“太陽風”(SolarWinds)黑客事件和2016年對美國民主黨全國委員會的攻擊。
TeamViewer解釋說,上周三的黑客攻擊利用了公司IT環境中“一個普通員工賬號的憑證”。
聲明中提到,目前“沒有證據”表明APT29能夠訪問公司的產品環境或客戶數據,并指出公司IT網絡與其他系統是隔離的。
公司解釋說:“這意味著我們將所有服務器、網絡和賬號嚴格分開,從而防止未經授權的訪問,以及在不同環境之間的橫向移動。”
TeamViewer發言人沒有回應有關APT29訪問了哪些系統或數據的問題。上周五下午,TeamViewer發布信息更新,確認攻擊“僅限于TeamViewer的內部公司IT環境,并未觸及產品環境、連接平臺或任何客戶數據。”公司承諾將繼續調查該事件。
安全專家建議暫時刪除TeamViewer
該事件在上周四曝光。當時一些組織開始警告客戶和成員,APT29對TeamViewer發動了攻擊。網絡安全公司NCC Group和一家醫療行業網絡安全聯盟都針對入侵事件發布了私密警報。
NCC Group全球威脅情報負責人Matt Hull建議,在更多信息出現之前,刪除TeamViewer軟件“將有助于預防通過這一途徑的任何潛在入侵。”
Hull表示:“我們還建議檢查安裝了該軟件的主機是否有異常行為。如有異常,說明主機可能已被入侵。如果您無法刪除該應用程序,則應對安裝了該程序的主機加以高度監控,這樣能會為您提供進一步的保障。”
谷歌云安全公司Mandiant的首席分析師John Hultquist表示,APT29是“我們跟蹤的最具挑戰性的行為者之一,他們正在針對各種規模的科技公司發動攻擊。”該組織一般會努力保持隱匿,但“并不害怕發動大膽的供應鏈攻擊。”
Hultquist表示,APT29的重點是獲取有助于克里姆林宮做出戰略決策的情報,特別是能夠提供對外事務洞見的數據。
APT29最近被牽涉到對微軟的一次重大攻擊中。這次攻擊暴露了幾家美國聯邦機構的電子郵件,這些郵件可能包含認證詳細信息或憑證。
彭博社在上周四晚間報道,微軟已經開始通知更多的組織,他們的電子郵件和其他信息在APT29的攻擊中被訪問。
Hultquist指出,APT29最近還針對德國的政黨進行了攻擊。
他說:“由于烏克蘭沖突,俄羅斯安全部門正承受著巨大的壓力,需要支持戰爭行為和俄羅斯領導層。俄羅斯間諜能夠收集情報的任何地方都將感受到這種壓力。”
參考資料:https://therecord.media/teamviewer-cozy-bear-hack-confirmed
來源:安全內參