A TeamViewer, a távoli hozzáférési szolgáltatásokat nyújtó óriás bejelentette, hogy orosz kémek törték fel a vállalati hálózatát
A TeamViewer, amely széles körben használt távoli hozzáférési eszközöket biztosít vállalatok számára, megerősítette, hogy folyamatban van egy kibertámadás a vállalati hálózatuk ellen.
Egy pénteki közleményben a cég az orosz hírszerzés által támogatott hackerekre, az APT29 (és a Midnight Blizzard) csoportra vezette vissza a biztonsági incidens okát.
A Németországban székelő cég azt állítja, hogy eddigi vizsgálataik szerint az első behatolás június 26-án történt, amely egy standard alkalmazotti fiók hitelesítő adataihoz köthető a vállalati IT környezeten belül.
A TeamViewer szerint a kibertámadás kizárólag a vállalati hálózatot érintette, és a cég külön tartja belső hálózatát és az ügyfélrendszereket. A cég hozzátette, hogy „nincs bizonyíték arra, hogy a fenyegetési színész hozzáférhetett volna termék környezetünkhöz vagy ügyféladatainkhoz.”
Martina Dier, a TeamViewer szóvivője elutasította, hogy válaszoljon a TechCrunch több kérdésére, többek között arra, hogy rendelkezik-e a cég a szükséges technikai képességekkel, mint például naplózással, hogy megállapítsa, történt-e adatok hozzáférése vagy eltulajdonítása a hálózatukról.
A TeamViewer az egyik legnépszerűbb távoli hozzáférési eszközöket biztosító szolgáltató, lehetővé téve vállalati ügyfelei számára – többek között a szállítmányozási óriás DHL és az italgyártó Coca-Cola számára, weboldaluk szerint –, hogy hozzáférjenek más eszközökhöz és számítógépekhez az interneten keresztül. A cég azt állítja, hogy több mint 600,000 fizető ügyfelük van, és több mint 2,5 milliárd eszközhöz biztosítanak távoli hozzáférést világszerte.
Ismert, hogy a TeamViewer eszközeit rosszindulatú hackerek is kihasználják, lehetővé téve számukra, hogy távolról malware-t telepítsenek egy áldozat eszközére.
Nem ismert, hogy hogyan kerülhettek kompromittálásra a TeamViewer alkalmazottjának hitelesítő adatai, és a cég ezt nem is közölte.
Az Egyesült Államok kormánya és biztonsági kutatók régóta az APT29 csoportot, amely Oroszország külföldi hírszerzési szolgálata, az SVR munkatársaihoz kötik. Az APT29 az egyik legkitartóbb, jól felszerelt kormány által támogatott hackercsoport, és ismert egyszerű, de hatékony hackelési technikái – beleértve a jelszavak ellopását – használatáról, amelyek hosszú távú, rejtett kémkedési kampányok során érzékeny adatok ellopására támaszkodnak.
A TeamViewer az utóbbi időben az SVR által célba vett legújabb technológiai vállalat. Ugyanez a kormányzati hackercsoport korábban idén feltörte a Microsoft vállalati hálózatát is, hogy ellopja a legfelsőbb vezetők e-maileit, hogy megismerjék, mit tudnak a behatolókról. A Microsoft szerint más technológiai vállalatokat is kompromittáltak az orosz kémkedési kampány során, és az amerikai kiberbiztonsági ügynökség, a CISA megerősítette, hogy az amerikai kormányzat e-maileit is ellopták, amelyeket a Microsoft felhőjében tároltak.
Hónapokkal később a Microsoft azt állította, hogy nehezen tudja kizárni a hackereket a rendszereiből, és ezt az orosz kormány „folyamatos, jelentős elkötelezettségének” nevezte, amely „erőforrásokat, koordinációt és fókuszt” igényelt.
Az amerikai kormány azt is Oroszország APT29 csoportjának rótta fel, hogy 2019-2020-ban kémkedési kampányt indított az amerikai SolarWinds szoftvercég ellen. A kibertámadás során az amerikai szövetségi kormányzati ügynökségeket tömegesen hackelték meg, egy rejtett rosszindulatú hátsó ajtó beültetésével a SolarWinds zászlóshajó szoftverébe. Amikor a fertőzött szoftverfrissítést kiadták a SolarWinds ügyfeleinek, az orosz hackerek hozzáférhettek minden olyan hálózathoz, amely a kompromittált szoftvert futtatta, beleértve a Pénzügyminisztériumot, az Igazságügyi Minisztériumot és az Államminisztériumot.
Az Amnesty International friss kutatása Indonéziát az egyre elterjedtebb megfigyelési technológiák és beszállítók feltörekvő központjaként azonosította. Az Amnesty International bizonyítékokat talált arra, hogy olyan “nagyon invazív kémprogramokat és más megfigyelési technológiákat” értékesítenek és szállítanak Indonéziába olyan országokból, mint Izrael, Görögország, Szingapúr és Malajzia, 2017-től egészen a múlt évig.
Ezeket a megfigyelési eszközöket állítólag olyan vállalatok birtokolják, mint a “Q Cyber Technologies (kapcsolódóan az NSO Group-hoz), az Intellexa konzorcium, a Saito Tech (más néven Candiru), a FinFisher és teljesen tulajdonában lévő leányvállalata, a Raedarius M8 Sdn Bhd, és a Wintego Systems.”
Az Amnesty International továbbá részletezte különféle rosszindulatú domain neveket és hálózati infrastruktúrákat, amelyek kapcsolódnak a megfigyelő szoftverplatformokhoz, és amelyek egyéneket céloznak meg Indonéziában. Míg a domain nevek utánozzák a politikai pártokat és a média hírportáljait, nem világos, hogy valójában kiket céloznak meg, az Amnesty International szerint. A kémprogramokat történelmileg kormányzati szervezetek használták arra, hogy a civil társadalmat és újságírókat célozzák meg, így Indonéziában, ahol a civil jogok támadásnak vannak kitéve, ez “különösen aggasztó” – áll az Amnesty jelentésében.
“A jelenlegi kutatás anyagi bizonyítékot nyújt, hogy tájékoztasson további kutatási és felelősségre vonási erőfeszítéseket annak biztosítása érdekében, hogy az indonéz civil társadalom szabad környezetben működhessen, félelem nélkül az törvénytelen megfigyeléstől” – áll a jelentésben.
Forrás: www.darkreading.com
A WinRAR-nak nincs automatikus frissítési funkciója, amely különösen kedvez a látszólag állami támogatású hackereknek, mert egy ismert hibát tudnak kihasználni ebben a népszerű programban. Sok felhasználó nem telepíti a szükséges javításokat, ami a program egy konkrét sérülékenységének terjedéséhez vezet – állapította meg a Google.
A vállalat most figyelmezteti a felhasználókat, hogy “számos állami támogatású hackercsoport” ezt a CVE-2023-3883 kódnevű hibát használja malware terjesztésre. “A WinRAR hibájának széles körű kihasználása rámutat arra, hogy még akkor is gyakran érik támadások az ismert sebezhetőségeket, ha létezik rá javítás” – írja a Google blogbejegyzésében.
Habár a WinRAR a hibát már javította augusztus 2-án a 6.23-as verziójában, a hackerek április óta kihasználják. Mivel nincs automatikus frissítési lehetőség, a felhasználóknak maguknak kell letölteniük és telepíteniük a frissítéseket a WinRAR weboldaláról.
“A javítás elérhető, de még sok felhasználó marad sebezhető” – hangsúlyozza a Google.
A vállalat rávilágított, hogy több állami támogatású hackercsoport, köztük az orosz “Sandworm”, kihasználja a hibát. A Google egy olyan phishing e-mailt is azonosított, amely úgy tűnt, mintha egy ukrán drónháborús képző iskolától érkezett volna, és kifejezetten ukrán felhasználókat célozott meg.
Az e-mail egy linket tartalmazott a fex[.]net nevű fájlmegosztóhoz, melyben egy álcázott PDF dokumentum és egy rosszindulatú ZIP fájl volt, amely a CVE-2023-3883 hibát használta ki – tette hozzá a Google. Egy dokumentum megnyitása a ZIP fájlon belül egy “infostealer” nevű kártevőt aktivál, amely képes ellopni a bejelentkezési adatokat.
Egy másik esetben egy “Fancy Bear” nevű orosz hackercsoport phishing oldalt hozott létre, hogy rávegye az ukrán felhasználókat egy ZIP fájl letöltésére, ami szintén a WinRAR hibát használja ki. “Az álcázott dokumentum egy meghívó volt a Razumkov Központ eseményére, egy közpolitikai gondolkodó műhelyből Ukrajnában” – említi a Google.
Kínai hackerek is élték a hibával. Egy APT40 nevű csoport indított egy phishing támadást Pápua Új-Guinea felhasználói ellen. “Az e-mailekben egy Dropbox link volt egy ZIP archívumhoz, mely a CVE-2023-3883 kihasználást, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmazott” – tájékoztat a Google.
Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat. “Ezek a támadások, melyek a WinRAR hibáját célozzák meg, rámutatnak a frissítések jelentőségére és arra, hogy még sok a teendő a felhasználók számára, hogy szoftvereiket naprakészen és biztonságosan tartsák” – állítja.
Megkerestük a WinRAR-t annak érdekében, hogy kiderítsük, terveznek-e automatikus frissítési funkciót bevezetni, és frissíteni fogjuk a cikket, ha választ kapunk. Addig is érdemes megemlíteni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.