Siber Muhbir

Şirketten yapılan açıklamada, "Müdahale ekibimizi ve prosedürlerimizi hemen etkinleştirdik, dünyaca ünlü siber güvenlik uzmanlarından oluşan bir ekiple birlikte soruşturmalara başladık ve gerekli iyileştirme önlemlerini uyguladık" denildi.

Ayrıca, kurumsal BT ortamının ürün ortamından tamamen koptuğunu ve olayın bir sonucu olarak herhangi bir müşteri verisinin etkilendiğini gösteren hiçbir kanıt bulunmadığını belirtti.

İzinsiz girişin arkasında kimin olabileceğine ve bunu nasıl başarabildiklerine dair herhangi bir ayrıntı açıklamadı, ancak bir soruşturmanın devam ettiğini ve yeni bilgiler ortaya çıktığında durum güncellemeleri sağlayacağını söyledi.

Almanya merkezli TeamViewer, yönetilen hizmet sağlayıcıların (MSP'ler) ve BT departmanlarının sunucuları, iş istasyonlarını, ağ cihazlarını ve uç noktaları yönetmesine olanak tanıyan uzaktan izleme ve yönetim (RMM) yazılımı üreticisidir. 600.000'den fazla müşteri tarafından kullanılmaktadır.

İlginç bir şekilde, Amerikan Hastaneler Birliği'ne (AHA) göre, ABD Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Health-ISAC), tehdit aktörlerinin TeamViewer'ı aktif olarak kullanması hakkında bir bülten yayınladı.

Kar amacı gütmeyen kuruluş, "Tehdit aktörlerinin uzaktan erişim araçlarından yararlandığı gözlemlendi" dedi. "Teamviewer'ın APT29 ile ilişkili tehdit aktörleri tarafından istismar edildiği gözlemlendi."

Bu aşamada, saldırganların müşteri ağlarını ihlal etmek için TeamViewer'daki eksiklikleri kötüye kullandıkları, hedeflere sızmak ve yazılımı dağıtmak için zayıf güvenlik uygulamaları kullandıkları veya TeamViewer'ın kendi sistemlerine bir saldırı gerçekleştirdikleri anlamına gelip gelmediği şu anda belirsizdir.

BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard ve The Dukes olarak da adlandırılan APT29, Rusya Dış İstihbarat Servisi'ne (SVR) bağlı devlet destekli bir tehdit aktörüdür. Son zamanlarda, Microsoft ve Hewlett Packard Enterprise'ın (HPE) ihlalleriyle bağlantılıydı.

Microsoft, Bloomberg ve Reuters'in raporlarına göre, bu yılın başlarında ortaya çıkan saldırının ardından bazı müşteri e-posta gelen kutularına APT29 tarafından da erişildiğini açıkladı.

Teknoloji devi haber ajansına yaptığı açıklamada, "Bu hafta, Midnight Blizzard tehdit aktörü tarafından sızdırılan Microsoft kurumsal e-posta hesaplarıyla yazışan müşterilere bildirim göndermeye devam ediyoruz" dedi.

Saldırı Resmi Olarak APT29'a Atfedildi

TeamViewer, Cuma günü yaptığı bir güncellemede, saldırıyı APT29'a bağladı ve kurumsal BT ortamındaki bir çalışan hesabıyla ilişkili kimlik bilgilerini hedef aldığını belirtti.

Gözden geçirilmiş bir uyarıda, "Sürekli güvenlik izlemesine dayanarak, ekiplerimiz bu hesabın şüpheli davranışlarını tespit etti ve olay müdahale önlemlerini derhal eyleme geçirdi" dedi. "Tehdit aktörünün ürün ortamımıza veya müşteri verilerimize erişim sağladığına dair hiçbir kanıt yok."

Yazılımın yaygın kullanımı nedeniyle sınırlı bir açıklama yoluyla ihlali ilk kez uyaran NCC Group, "TeamViewer'ın maruz kaldığı uzlaşma türü hakkında daha fazla ayrıntı bilinene kadar" yazılımın kaldırılmasını tavsiye etti.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.