TeamViewer phát hiện vi phạm bảo mật trong môi trường CNTT doanh nghiệp
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ của công ty vào ngày 26 tháng 6 năm 2024.
“Chúng tôi ngay lập tức kích hoạt đội phản ứng và quy trình của mình, bắt đầu điều tra cùng với một nhóm chuyên gia an ninh mạng nổi tiếng toàn cầu và thực hiện các biện pháp khắc phục cần thiết”, công ty cho biết trong một tuyên bố.
Họ cũng lưu ý thêm rằng môi trường CNTT của công ty hoàn toàn bị cắt khỏi môi trường sản phẩm và không có bằng chứng nào cho thấy rằng bất kỳ dữ liệu khách hàng nào đã bị ảnh hưởng do sự cố.
Nó không tiết lộ bất kỳ chi tiết nào về ai có thể đứng đằng sau vụ xâm nhập và làm thế nào họ có thể thực hiện nó, nhưng cho biết một cuộc điều tra đang được tiến hành và nó sẽ cung cấp thông tin cập nhật trạng thái khi có thông tin mới.
TeamViewer, có trụ sở tại Đức, là nhà sản xuất phần mềm quản lý và giám sát từ xa (RMM) cho phép các nhà cung cấp dịch vụ được quản lý (MSP) và bộ phận CNTT quản lý máy chủ, máy trạm, thiết bị mạng và điểm cuối. Nó được sử dụng bởi hơn 600.000 khách hàng.
Điều thú vị là Trung tâm Phân tích và Chia sẻ Thông tin Y tế Hoa Kỳ (Health-ISAC) đã đưa ra một bản tin về việc các tác nhân đe dọa đang tích cực khai thác TeamViewer, theo Hiệp hội Bệnh viện Hoa Kỳ (AHA).
Tổ chức phi lợi nhuận cho biết: “Các tác nhân đe dọa đã được quan sát thấy đang tận dụng các công cụ truy cập từ xa”. "Teamviewer đã được quan sát thấy đang bị khai thác bởi các tác nhân đe dọa liên quan đến APT29."
Hiện tại vẫn chưa rõ liệu điều này có nghĩa là những kẻ tấn công đang lợi dụng những thiếu sót trong TeamViewer để xâm phạm mạng của khách hàng, sử dụng các biện pháp bảo mật kém để xâm nhập vào mục tiêu và triển khai phần mềm hay chúng đã thực hiện một cuộc tấn công vào hệ thống của chính TeamViewer.
APT29, còn được gọi là BlueBravo, Cloaked Ursa, Cosy Bear, Midnight Blizzard và The Dukes, là một kẻ đe dọa được nhà nước bảo trợ và liên kết với Cơ quan Tình báo Nước ngoài Nga (SVR). Gần đây, nó có liên quan đến hành vi vi phạm của Microsoft và Hewlett Packard Enterprise (HPE).
Kể từ đó, Microsoft đã tiết lộ rằng một số hộp thư đến email của khách hàng cũng đã bị APT29 truy cập sau vụ hack được phát hiện vào đầu năm nay, theo báo cáo từ Bloomberg và Reuters.
“Tuần này, chúng tôi sẽ tiếp tục thông báo cho những khách hàng có thư từ với các tài khoản email của công ty Microsoft đã bị kẻ đe dọa Midnight Blizzard đánh cắp,” gã khổng lồ công nghệ được dẫn lời nói với hãng tin này.
Cuộc tấn công chính thức được quy cho APT29#
TeamViewer, trong bản cập nhật vào thứ Sáu, đã quy cuộc tấn công cho APT29, cho biết nó nhắm mục tiêu vào thông tin xác thực liên quan đến tài khoản nhân viên trong môi trường CNTT của công ty.
“Dựa trên việc giám sát an ninh liên tục, các nhóm của chúng tôi đã xác định được hành vi đáng ngờ của tài khoản này và ngay lập tức áp dụng các biện pháp ứng phó sự cố”, nó lưu ý trong một cảnh báo sửa đổi. “Không có bằng chứng nào cho thấy kẻ đe dọa đã có được quyền truy cập vào môi trường sản phẩm hoặc dữ liệu khách hàng của chúng tôi.”
NCC Group, lần đầu tiên cảnh báo về vi phạm thông qua một tiết lộ hạn chế do phần mềm được sử dụng rộng rãi, đã khuyến nghị xóa phần mềm "cho đến khi biết thêm thông tin chi tiết về loại thỏa hiệp mà TeamViewer đã phải chịu."
Tác nhân đe dọa nhắm mục tiêu vào tài khoản nhân viên bị xâm phạm#
Trong một tư vấn cập nhật được phát hành vào ngày 30 tháng 6, TeamViewer xác nhận rằng vi phạm không ảnh hưởng đến môi trường sản phẩm, nền tảng kết nối TeamViewer hoặc bất kỳ dữ liệu khách hàng nào, đồng thời nêu rõ nỗ lực của họ nhằm xây dựng lại môi trường CNTT nội bộ của công ty để đảm bảo an toàn hơn.
“Theo những phát hiện hiện tại, kẻ đe dọa đã lợi dụng tài khoản nhân viên bị xâm nhập để sao chép dữ liệu thư mục nhân viên, tức là tên, thông tin liên hệ của công ty và mật khẩu nhân viên được mã hóa cho môi trường CNTT nội bộ của công ty chúng tôi,” nó cho biết. "Chúng tôi đã thông báo cho nhân viên của mình và các cơ quan hữu quan."
TeamViewer, công ty đang hợp tác với Microsoft trong nỗ lực ứng phó sự cố, cho biết rủi ro liên quan đến mật khẩu được mã hóa có trong thư mục đã được giảm thiểu. Họ cũng cho biết họ đã tăng cường các thủ tục xác thực cho nhân viên của mình đến mức tối đa và triển khai các lớp bảo vệ mạnh mẽ hơn nữa.
John Hultquist, nhà phân tích trưởng tại Mandiant thuộc sở hữu của Google, cho biết: “APT29 là một trong những tác nhân thách thức nhất mà chúng tôi theo dõi và chúng đang nhắm mục tiêu vào các công ty công nghệ thuộc mọi quy mô”. “Họ làm việc rất chăm chỉ để không bị phát hiện, nhưng mặc dù tập trung vào khả năng tàng hình nhưng họ không ngại thực hiện những cuộc tấn công táo bạo vào chuỗi cung ứng này.”
“Họ đang di chuyển thông qua các công ty công nghệ để tiếp cận khách hàng của mình, nơi họ mong muốn tìm thấy thông tin tình báo cung cấp cho việc ra quyết định ở Điện Kremlin. Nói chung, họ đang tìm kiếm cái nhìn sâu sắc về các vấn đề đối ngoại, đặc biệt chú trọng đến việc hỗ trợ cho Ukraine, và họ nhắm mục tiêu vào chính phủ và các tổ chức liên quan để lấy thông tin đó.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Nhóm tin tặc Lazarus khai thác lỗ hổng zero-day tr...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tên này
- Cuộc tấn công Microsoft 365 mới có thể phá vỡ hàng...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Người dùng chưa đủ 18 tuổi sẽ không được dùng filt...
- Thông báo thời gian kì nghỉ công ty năm 2024
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...