Segundo o desenvolvedor de software RMM TeamViewer, o Grupo de hackers russo Midnight Blizzard atacou o TeamViewer.
O TeamViewer é amplamente utilizado por empresas e consumidores para monitoramento e gerenciamento remoto (RMM) de dispositivos em redes internas.
Mas recentemente, surgiram relatos de que o TeamViewer foi violado e que especialistas em segurança cibernética e organizações de saúde começaram a alertar clientes e organizações para monitorar suas conexões.
Como o escopo do incidente de segurança cibernética não era conhecido, os especialistas começaram a alertar as partes interessadas para monitorar conexões suspeitas que pudessem indicar agentes de ameaças tentando usar a violação do TeamViewer para obter acesso a outras redes.
Agora, o desenvolvedor de software RMM TeamViewer diz que acredita-se que um grupo de hackers patrocinado pelo estado russo, conhecido como Midnight Blizzard, esteja por trás de uma violação de sua rede corporativa esta semana.
Grupo de hackers russo Midnight Blizzard atacou o TeamViewer
Recentemente, o TeamViewer compartilhou uma declaração atualizada, afirmando que eles atribuem o ataque à Midnight Blizzard (APT29, Nobelium, Cozy Bear).
A TeamViewer afirma acreditar que sua rede corporativa interna, e não seu ambiente de produção, foi violada na quarta-feira, 26 de junho, usando as credenciais de um funcionário.
“As descobertas atuais da investigação apontam para um ataque na quarta-feira, 26 de junho, vinculado às credenciais de uma conta padrão de funcionário em nosso ambiente de TI corporativo”, diz a declaração atualizada do TeamViewer.
“Com base no monitoramento contínuo de segurança, nossas equipes identificaram comportamento suspeito desta conta e imediatamente colocaram em ação medidas de resposta a incidentes. Juntamente com nosso suporte externo de resposta a incidentes, atualmente atribuímos esta atividade ao ator de ameaça conhecido como APT29/Midnight Blizzard.”
A empresa enfatizou que sua investigação não mostrou nenhuma indicação de que o ambiente de produção ou os dados do cliente foram acessados no ataque e que eles mantêm a rede corporativa e o ambiente de produto isolados um do outro.
“Seguindo a arquitetura de práticas recomendadas, temos uma forte segregação entre a TI corporativa, o ambiente de produção e a plataforma de conectividade TeamViewer”, continua a declaração da TeamViewer.
“Isso significa que mantemos todos os servidores, redes e contas estritamente separados para ajudar a evitar acesso não autorizado e movimento lateral entre os diferentes ambientes. Essa segregação é uma das múltiplas camadas de proteção em nossa abordagem de ‘defesa profunda’.”
Embora isso seja tranquilizador para os clientes do TeamViewer, é comum em incidentes como esse que mais informações sejam divulgadas posteriormente, à medida que a investigação avança.
Isto é especialmente verdadeiro para um ator de ameaça tão avançado como Midnight Blizzard.
Portanto, é recomendado que todos os clientes TeamViewer habilitem a autenticação multifator, configurem uma lista de permissões e bloqueios para que apenas usuários autorizados possam fazer conexões e monitorem suas conexões de rede e registros do TeamViewer.
BleepingComputer contatou o TeamViewer com mais perguntas sobre quem está ajudando na investigação e como as credenciais dos funcionários foram comprometidas, mas não recebeu resposta até o momento.
Midnight Blizzard (também conhecido como Cozy Bear, Nobelium e APT29) é um grupo avançado de hackers patrocinado pelo Estado que se acredita estar associado ao Serviço de Inteligência Estrangeira (SVR) da Rússia.
Os agentes da ameaça têm sido associados a uma grande variedade de ataques, principalmente associados à espionagem cibernética, nos quais violam redes governamentais e empresariais para roubar dados silenciosamente e monitorizar comunicações.
O governo dos EUA vinculou o grupo de hackers ao infame ataque à cadeia de suprimentos da SolarWinds em 2020, onde os atores da ameaça violaram a empresa para obter acesso ao seu ambiente de desenvolvedor.
A partir daí, eles adicionaram um backdoor malicioso a um arquivo DLL do Windows que foi então enviado aos clientes da SolarWinds em um ataque à cadeia de suprimentos por meio de uma plataforma de atualização automática.
Essa DLL permitiu que os agentes da ameaça monitorassem alvos de alto valor, violassem redes e roubassem dados de seus ambientes.
Mais recentemente, a Midnight Blizzard voltou sua atenção para a Microsoft em uma série de ataques cibernéticos bem-sucedidos.
Em 2023, os atores da ameaça violaram as contas corporativas do Exchange Online da Microsoft para monitorar e roubar e-mails das equipes de liderança, segurança cibernética e jurídica da empresa.
De particular interesse, a Microsoft diz que inicialmente direcionou contas de e-mail para encontrar informações relacionadas a si mesmas.
Em março de 2024, a Microsoft disse que os agentes da ameaça violaram mais uma vez seus sistemas usando segredos encontrados nos e-mails roubados no incidente anterior.
Midnight Blizzard acessou alguns de seus sistemas internos e repositórios de código-fonte como parte dessa violação.
Em ambos os incidentes, os agentes da ameaça usaram ataques de pulverização de senhas para violar contas corporativas e, em seguida, usaram essas contas como trampolim para outras contas e dispositivos em sistemas visados.
A Microsoft já havia compartilhado orientações para responder e investigar ataques da Midnight Blizzard.