TeamViewer, Perşembe günü, 26 Haziran 2024’te dahili kurumsal BT ortamında bir “anormallik” tespit ettiğini açıkladı.
Şirketten yapılan açıklamada, “Derhal müdahale ekibimizi ve prosedürlerimizi devreye soktuk, dünyaca ünlü siber güvenlik uzmanlarından oluşan bir ekip ile birlikte soruşturmalar başlattık ve gerekli iyileştirme önlemlerini uyguladık” denildi.
Ayrıca, kurumsal BT ortamının ürün ortamından tamamen izole edildiği ve olayın sonucunda herhangi bir müşteri verisinin etkilenmediği belirtildi.
Saldırının arkasında kimin olduğuna ve nasıl başarılı olduklarına dair herhangi bir detay paylaşılmadı; ancak bir soruşturmanın devam ettiği ve yeni bilgiler elde edildikçe güncellemeler yapılacağı belirtildi.
Almanya merkezli TeamViewer, yönetilen hizmet sağlayıcılarının (MSP’ler) ve BT departmanlarının sunucuları, iş istasyonları, ağ cihazları ve uç noktaları yönetmesine olanak tanıyan uzaktan izleme ve yönetim (RMM) yazılımının üreticisidir ve 600.000’den fazla müşteri tarafından kullanılmaktadır.
İlginçtir ki, Amerikan Hastane Birliği (AHA) tarafından yapılan bir duyuruya göre, ABD Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Health-ISAC), tehdit aktörlerinin TeamViewer’ı aktif olarak istismar ettiği konusunda bir uyarı yayınladı.
“Tehdit aktörlerinin uzaktan erişim araçlarını kullandığı gözlemlendi,” dedi kar amacı gütmeyen kuruluş. “TeamViewer’ın APT29 ile ilişkili tehdit aktörleri tarafından istismar edildiği gözlemlendi.”
Bu, saldırganların müşteri ağlarını ihlal etmek için TeamViewer’daki güvenlik açıklarını kötüye kullandığı, hedeflere sızmak ve yazılımı dağıtmak için zayıf güvenlik uygulamalarını kullandığı veya TeamViewer’ın kendi sistemlerine bir saldırı gerçekleştirdiği anlamına mı geliyor, şu aşamada net değil.
APT29 olarak bilinen ve aynı zamanda BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard ve The Dukes gibi isimlerle de anılan grup, Rusya Dış İstihbarat Servisi’ne (SVR) bağlı devlet destekli bir tehdit aktörüdür. Son zamanlarda Microsoft ve Hewlett Packard Enterprise (HPE) ihlalleriyle ilişkilendirilmiştir.
Microsoft, Bloomberg ve Reuters’ın raporlarına göre, bu yılın başlarında ortaya çıkan saldırının ardından bazı müşterilerin e-posta hesaplarına APT29 tarafından erişildiğini açıkladı.
Teknoloji devi, haber ajansına yaptığı açıklamada, “Bu hafta, Midnight Blizzard tehdit aktörü tarafından çalınan Microsoft kurumsal e-posta hesaplarıyla iletişim kuran müşterilerimize bildirimler göndermeye devam ediyoruz” dedi.
Saldırı resmi olarak APT29’a atfedildi. TeamViewer, Cuma günü yaptığı güncellemede saldırıyı APT29’a bağladı ve saldırının kurumsal BT ortamındaki bir çalışan hesabıyla ilişkili kimlik bilgilerini hedef aldığını belirtti.
“Sürekli güvenlik izlemesine dayanarak, ekiplerimiz bu hesabın şüpheli davranışlarını tespit etti ve derhal olay yanıt önlemlerini uygulamaya koydu,” diye belirtti gözden geçirilmiş bir uyarıda. “Tehdit aktörünün ürün ortamımıza veya müşteri verilerimize erişim sağladığına dair hiçbir kanıt yok.”
NCC Group, yazılımın yaygın kullanımı nedeniyle ihlali sınırlı bir açıklama ile bildirirken, “TeamViewer’ın maruz kaldığı ihlal türü hakkında daha fazla ayrıntı öğrenilene kadar yazılımın kaldırılmasını önerdi.”
