Sajber napad na Team Viewer
Jer niko nije savršen
Jun 28
/
Denis Daničić
Team Viewer, najpoznatiji proizvođač softvera za daljinski nadzor i upravljanje, objavio je u četvrtak 27.6.2024. da je, kako se navodi, dan ranije otkrio “određene nepravilnosti“ u svojoj korporativnoj mreži.
“Odmah smo aktivirali naš tim za odgovor na incidente i započeli istragu zajedno sa svetski poznatim stručnjacima za sajber bezbednost, uz implementaciju potrebnih mera sanacije“, navela je kompanija u svom saopštenju. TeamViewer takođe kaže da su nepravilnosti uočene u okruženju koje je u potpunosti odvojeno od proizvoda i servisnih usluga koje kompanija isporučuje svojim korisnicima, kao i da nema dokaza da su podaci korisnika ugroženi ovim incidentom.
Nije otkriveno ko stoji iza napada, niti kako je do provale došlo. Kompanija naglašava da je istraga u toku i da će javnosti biti predočene sve nove informacije, kako budu pristizale.
Gde leži opasnost?
Sa sedištem u Nemačkoj, ovaj svetski poznat proizvođač softvera za daljinski nadzor i upravljanje omogućava spoljnim saradnicima, tehničkim licima i IT odeljenjima daljinsko održavanje hardvera i softvera, radnih stanica, servera, mobilnih telefona i ostalih mrežnih uređaja, u lokalu ili preko Interneta, bez obzira na to gde se fizički nalaze.
Team Viewer je, po svojim karakteristika i funkcionalnostima, jedan od najboljih i najzastupljenijih RMM (Remote Monitoring and Management) programa na svetu. Toliko je opšteprihvaćen i opšteprisutan da i moja baba zna čemu služi. “Timjuer? A, da, da, imam, imam, samo da nađem ikonicu…”
Kompanija broji preko 600.000 komercijalnih licenci i 2.5 milijardi besplatnih instanci instaliranih širom sveta. Provala u proizvode i servisne usluge ove kompanije bila bi katastrofa globalnih razmera, ukoliko bi napadači našli način da pristupe korisničim nalozima i uređajima na kojima je instaliran Team Viewer.
Gde ima dima...
Interesantno je da je američki zdravstveni centar za razmenu informacija i analizu (Health Information Sharing and Analysis Center, skraćeno Health-ISAC) u međuvremenu izdao bilten sa upozorenjem o aktivnom iskorišćavanju Team Viewer-a od strane kriminalnih sajber grupa:
„Naši posmatrači prijavljuju pojačanu upotrebu RMM alata u sajber napadima", navodi ova neprofitna organizacija. „Uočeno je da APT29 grupa koristi Team Viewer u svojim aktivnostima.“
Trenutno nije jasno da li napadači zloupotrebljavaju ranjivosti Team Viewer-a za provale u korporativne mreže, da li u procesu infiltracije iskorišćavaju propuste u postavci ove platforme ili su izveli napad na infrastrukturu Team Viewer-a.
Ko je APT 29?
Advanced Persistent Treath (APT) 29 je verovatno najozloglašenija hakerska grupa na svetu. Poznata je i pod imenima Cozy Bear, BlueBravo, Cloaked Ursa, Midnight Blizzard, The Dukes ili NOBELIUM, i predstavlja najgori oblik naprednih, perzistentnih sajber pretnji. Direktno se povezuje sa ruskom spoljnom obaveštajnom službom (SVR), a operacije koje izvodi najčešće su u domenu sajber špijunaže. Ciljevi su diplomatske, vladine, vojne i bezbednosne organizacije, kao i velike korporacije širom sveta.
Pripadnost: Grupa je povezana sa SVR, spoljnom ruskom obaveštajnom službom odgovornom za prikupljanje obaveštajnih podataka putem tradicionalne i elektronske špijunaže;
Tehnike: APT29 koristi sofisticirane metode za infiltraciju i neprimetno prisustvo u kompromitovanim sistemima. Najčešće napada putem fišing kampanja, zloupotrebom legitimnog softvera za daljinski pristup, koristi zero-day ranjivosti i specijalno prilagođeni malver;
Napadi visokog profila: APT29 je odgovoran za niz visokoprofilnih sajber napada kroz dugi niz godina:
Metode prikrivanja: Grupa je poznata po tome što koristi napredne tehnike za izbegavanja otkrivanja, kao što su:
APT29 se, zbog svoje veštine i sposobnosti da izvršava dugotrajne i kompleksne operacije, smatra jednom od najopasnijih i najuspešnijih hakerskih grupa svetu.
Karakteristike APT29:
Pripadnost: Grupa je povezana sa SVR, spoljnom ruskom obaveštajnom službom odgovornom za prikupljanje obaveštajnih podataka putem tradicionalne i elektronske špijunaže;
Ciljevi: Glavni ciljevi su državne institucije, međunarodne organizacije, vojni entiteti, bezbednosne agencije i velike korporacije, posebno u zapadnim zemljama;
Tehnike: APT29 koristi sofisticirane metode za infiltraciju i neprimetno prisustvo u kompromitovanim sistemima. Najčešće napada putem fišing kampanja, zloupotrebom legitimnog softvera za daljinski pristup, koristi zero-day ranjivosti i specijalno prilagođeni malver;
Napadi visokog profila: APT29 je odgovoran za niz visokoprofilnih sajber napada kroz dugi niz godina:
- Napad na Nacionalni komitet Demokratske stranke (DNC) (2016): APT29 je bio jedan od glavnih aktera u provali u DNC tokom američkih predsedničkih izbora 2016. godine. Ovaj napad je rezultirao krađom velikog broja mejl adresa, poruka i dokumenata koji su kasnije objavljeni javno, što je izazvalo značajne političke posledice;
- Napad SolarWinds (2020): Ovaj napad je jedna od najopsežnijih sajber špijunskih kampanja ikada otkrivenih. APT29 je koristio zlonamerni softver nazvan SUNBURST da kompromituje SolarWinds Orion softver, koji je bio rasprostranjen u vladinim agencijama i korporacijama širom Amerike. Napadači su dobili pristup mrežama i podacima brojnih ciljeva od velike važnosti, uključujući i američke federalne agencije;
- Provale u zdravstvene organizacije (2020): Tokom pandemije COVID-19, APT29 je ciljao zdravstvene organizacije koje rade na istraživanju i razvoju vakcina. Ujedinjeno Kraljevstvo, Kanada i SAD optužile su grupu za pokušaj krađe istraživačkih podataka o vakcinama;
- Microsoft (2024): Početkom 2024. godine, APT29 je bio povezan sa provalama u korporativne mejlove Microsoft-a, što je rezultiralo eksfiltracijom podataka važnih korisnika;
- Upad u nemačke savezne institucije (2015-2016): APT29 je bio povezan sa serijom napada na nemačke savezne institucije, uključujući Bundestag. Napadači su uspeli da kompromituju mejl servere i ukradu značajnu količinu podataka.
- Napadi na zapadne diplomatske misije (2014-2020): U ovom periodu, APT29 je sprovodio konstantne napade na zapadne diplomatske misije širom sveta, koristeći fišing kampanje i sofisticiran malver kako bi ostvario pristup osetljivim komunikacionim kanalima i poverljivim informacijama.
- Provala u Hewlett Packard Enterprise (HPE) (2024): Grupa je povezana sa provalama u HPE, što je rezultiralo krađom osetljivih podataka. Napad je bio deo šire kampanje koja je uključivala više ciljeva u tehnološkom sektoru.
Metode prikrivanja: Grupa je poznata po tome što koristi napredne tehnike za izbegavanja otkrivanja, kao što su:
- Korišćenje enkripcije za komunikaciju sa serverima za komandu i kontrolu;
- Implementacija složenih zlonamernih instrukcija koji se aktiviraju tek nakon određenog vremena ili pod određenim okolnostima;
- Redovno ažuriranje alata i tehnika kako bi uvek bili za korak ispred sistema sajber odbrane
APT29 se, zbog svoje veštine i sposobnosti da izvršava dugotrajne i kompleksne operacije, smatra jednom od najopasnijih i najuspešnijih hakerskih grupa svetu.
NCC Group savetuje oprez i deinstalaciju
NCC Group, kao uvaženi entitet na polju sajber bezbednosti i upravljanja rizicima, u svom saopštenju kaže da nastavlja istragu o napadu, kao i i obimu umešanosti grupe APT29. Korisnisnicima se savetuje deinstalacija Team Viewer-a dok se ne sazna više detalja o pretnji, jer kompromitacija servisa koji je prisutan u toj razmeri može predstavljati veliku, globalnu sajber opasnost.
Preporučujemo pregled mašina koje imaju instaliran Team Viewer, a zbog potencijalnog neuobičajenog ponašanja koje može ukazivati na već postojeću kompromitaciju. Ako niste u mogućnosti da uklonite aplikaciju, stavite te mašine pod pojačan nadzor.
Matt Hull, Global Head of Threat Intelligence
Ako koza laže…
Dok TeamViewer tvrdi da njihovo proizvodno okruženje nije pogođeno napadom i da su podaci korisnika sigurni, činjenica da je APT29 umešan u napad unosi veliku nesigurnost i neizvesnost u konačan bilans ovog slučaja. Kompanija je svakako obećala da će o statusu incidenta obaveštavati sve zainteresovane strane, kad nove informacije budu dostupne.
Do tada savetujemo da, ako deinstalacija TeamViewer-a nije opcija, proverite koje sigurnosne mehanizme softver pruža i svakako ostanete u toku sa dešavanjima.
Izvori:
Bleepingcomputer.com
TheRegister.com
CyberDaily.au
NCCGroup.com
Prijavite se na newsletter!
Hvala!
-
CRVENA PILULA, Edukacija i konsalting u informacionoj bezbednosti, Denis Daničić PR
-
Tel: (+381) 62 216 607
-
Adresa: Avijatičarska 22. Popadić, Mionica
Copyright © www.crvenapilula.rs
Zakažite razgovor
Želite da se raspitate u vezi in-house obuka? Unesite vašu e-mejl adresu i javićemo vam se uskoro.
Hvala na interesovanju!
Zakažite obuku
Interesuje vas obuka "Osnove sajber bezbednosti"? Unesite vašu e-mejl adresu i javićemo vam se uskoro.
Hvala na interesovanju!
Zakažite obuku
Interesuje vas obuka "Ljudi kao prva i poslednja linija odbrane"? Unesite vašu e-mejl adresu i javićemo vam se uskoro.
Hvala na interesovanju!
Zakažite obuku
Interesuje vas obuka "Kad klikneš gde ne treba"? Unesite vašu e-mejl adresu i javićemo vam se uskoro.
Hvala na interesovanju!
Zakažite obuku
Interesuje vas obuka "Laptopi, mejlovi,
Wi-Fi i život van kancelarije"? Unesite vašu e-mejl adresu i javićemo vam se uskoro.
Wi-Fi i život van kancelarije"? Unesite vašu e-mejl adresu i javićemo vam se uskoro.
Hvala na interesovanju!
Zakažite razgovor
Želite da popričamo o sajber bezbednosti u vašoj kompaniji? Unesite vašu e-mejl adresu i javićemo vam se uskoro.
Hvala na interesovanju!
Kreirano pomoću
