Şirketler için yaygın olarak kullanılan uzaktan erişim araçları üreten TeamViewer, kurumsal ağında devam eden bir siber saldırıyı doğruladı.
Cuma günü yapılan bir açıklamada şirket, uzlaşmanın APT29 (ve Midnight Blizzard) olarak bilinen Rus istihbaratı için çalışan hükümet destekli bilgisayar korsanlarına atfedildi.
Almanya merkezli şirket, şu ana kadar yapılan soruşturmanın 26 Haziran’da “kurumsal BT ortamımızdaki standart bir çalışan hesabının kimlik bilgilerine bağlı” ilk izinsiz girişe işaret ettiğini söyledi.
TeamViewer, siber saldırının kurumsal ağında “kontrol altına alındığını” ve şirketin iç ağını ve müşteri sistemlerini ayrı tuttuğunu söyledi. Şirket, “tehdit aktörünün ürün ortamımıza veya müşteri verilerine erişim sağladığına dair hiçbir kanıt bulunmadığını” da sözlerine ekledi.
TeamViewer sözcüsü Martina Dier, TechCrunch’ın, şirketin günlükler gibi, hangi verilere erişildiğini veya ağdan hangi verilere erişildiğini veya sızdırıldığını belirlemeye yönelik teknik yeterliliğe sahip olup olmadığı da dahil olmak üzere bir dizi soruyu yanıtlamayı reddetti.
TeamViewer, nakliye devi DHL ve içecek üreticisi Coca-Cola da dahil olmak üzere kurumsal müşterilerinin internet üzerinden diğer cihazlara ve bilgisayarlara erişmesine olanak tanıyan, en popüler uzaktan erişim araçları sağlayıcılarından biridir. Şirket, 600.000’den fazla müşteriye sahip olduğunu ve dünya çapında 2,5 milyardan fazla cihaza uzaktan erişime izin verdiğini söylüyor.
TeamViewer’ın, kurbanın cihazına uzaktan kötü amaçlı yazılım yerleştirmek için kullanılabilmesi nedeniyle kötü niyetli bilgisayar korsanları tarafından kötüye kullanıldığı da biliniyor.
TeamViewer çalışanının kimlik bilgilerinin nasıl ele geçirildiği bilinmiyor ve TeamViewer da bunu söylemedi.
ABD hükümeti ve güvenlik araştırmacıları uzun süredir APT29’u Rusya’nın dış istihbarat servisi SVR için çalışan bilgisayar korsanlarına atfediyor. APT29, hassas verilerin çalınmasına dayanan uzun vadeli gizli casusluk kampanyaları yürütmek için basit ama etkili hackleme tekniklerini (şifre çalma dahil) kullanmasıyla tanınan, daha ısrarcı, iyi kaynaklara sahip, hükümet destekli hackleme gruplarından biridir.
TeamViewer, son zamanlarda Rusya’nın SVR’sinin hedef aldığı en son teknoloji şirketidir. Aynı grup hükümet korsanları, izinsiz giren bilgisayar korsanları hakkında bilinenleri öğrenmek amacıyla üst düzey yöneticilerin e-postalarını çalmak için bu yılın başlarında Microsoft’un kurumsal ağını tehlikeye attı. Microsoft, devam eden Rus casusluk kampanyası sırasında diğer teknoloji şirketlerinin de ele geçirildiğini söyledi ve ABD siber güvenlik kurumu CISA, Microsoft’un bulutunda barındırılan federal hükümet e-postalarının da çalındığını doğruladı.
Aylar sonra Microsoft, bilgisayar korsanlarını sistemlerinden çıkarmak için mücadele ettiğini açıkladı ve kampanyayı Rus hükümetinin “kaynakları, koordinasyonu ve odağına” yönelik “sürekli, önemli bir taahhüt” olarak nitelendirdi.
ABD hükümeti ayrıca yazılım firmasını SolarWinds’i hedef alan 2019-2020 casusluk kampanyasından Rusya’nın APT29’unu sorumlu tuttu. Siber saldırıda, SolarWinds’in amiral gemisi yazılımına kötü niyetli bir arka kapı yerleştirerek ABD federal hükümet kurumlarının toplu olarak hacklenmesi gerçekleşti. Kusurlu yazılım güncellemesi SolarWinds müşterilerine gönderildiğinde, Rus bilgisayar korsanları, Hazine, Adalet Bakanlığı ve Dışişleri Bakanlığı da dahil olmak üzere ele geçirilen yazılımı çalıştıran her ağa erişebildi.
TeamViewer siber saldırısı hakkında daha fazla bilginiz var mı? Temasta olmak. Bu muhabirle iletişime geçmek için +1 646-755-8849 numaralı telefondan Signal ve WhatsApp üzerinden veya e-posta yoluyla iletişime geçin. Ayrıca SecureDrop aracılığıyla dosya ve belge gönderebilirsiniz.
Kaynak: https://techcrunch.com/2024/06/28/teamviewer-cyberattack-apt29-russia-government-hackers/