O desenvolvedor de software RMM TeamViewer diz que acredita-se que um grupo de hackers patrocinado pelo estado russo, conhecido como Midnight Blizzard, esteja por trás de um ataque a rede corporativa esta semana.
Rackers russos podem estar por trás do ataque ao TeamViewer
Ontem, o BleepingComputer relatou que o TeamViewer havia sido violado e que especialistas em segurança cibernética e organizações de saúde começaram a alertar clientes e organizações para monitorar suas conexões.
O TeamViewer é amplamente usado por empresas e consumidores para monitoramento e gerenciamento remoto (RMM) de dispositivos em redes internas. Como o escopo do incidente de segurança cibernética não era conhecido, especialistas começaram a alertar as partes interessadas para monitorar conexões suspeitas que pudessem indicar agentes de ameaças tentando usar a violação do TeamViewer para obter acesso a outras redes.
Agora, a TeamViewer compartilhou uma declaração atualizada com o BleepingComputer, afirmando que eles atribuem o ataque à Midnight Blizzard (APT29, Nobelium, Cozy Bear). A empresa diz que acredita que sua rede corporativa interna, não seu ambiente de produção, foi violada na quarta-feira, 26 de junho, usando as credenciais de um funcionário.
A empresa enfatizou que sua investigação não mostrou nenhuma indicação de que o ambiente de produção ou os dados do cliente foram acessados no ataque e que eles mantêm sua rede corporativa e ambiente de produto isolados um do outro.
Embora isso seja tranquilizador para os clientes do TeamViewer, é comum em incidentes como esse que mais informações sejam divulgadas posteriormente, à medida que a investigação avança. Isto é especialmente verdadeiro para um ator de ameaça tão avançado como Midnight Blizzard. Portanto, é recomendado que todos os clientes TeamViewer habilitem a autenticação multifator, configurem uma lista de permissões e bloqueios para que apenas usuários autorizados possam fazer conexões e monitorem suas conexões de rede e registros do TeamViewer.
O BleepingComputer contatou o TeamViewer com mais perguntas sobre quem está ajudando na investigação e como as credenciais dos funcionários foram comprometidas, mas não recebeu resposta até o momento.
Midnight Blizzard
Midnight Blizzard é um grupo avançado de hackers patrocinado pelo estado, que se acredita estar associado ao Serviço de Inteligência Estrangeira da Rússia (SVR). Os cibercriminosos têm sido associados a uma grande variedade de ataques, principalmente associados à espionagem cibernética, na qual eles violam redes governamentais e corporativas para roubar dados e monitorar comunicações silenciosamente.
O governo dos EUA vinculou o grupo de hackers ao infame ataque à cadeia de suprimentos da SolarWinds em 2020, onde os atores da ameaça violaram a empresa para obter acesso ao seu ambiente de desenvolvedor. A partir daí, eles adicionaram um backdoor malicioso a um arquivo DLL do Windows que foi então enviado aos clientes da SolarWinds em um ataque à cadeia de suprimentos por meio de uma plataforma de atualização automática.
Mais recentemente, a Midnight Blizzard voltou sua atenção para a Microsoft em uma série de ataques cibernéticos bem-sucedidos. Em 2023, os atores da ameaça violaram as contas corporativas do Exchange Online da Microsoft para monitorar e roubar e-mails das equipes de liderança, segurança cibernética e jurídica da empresa. De particular interesse, a Microsoft diz que inicialmente direcionou contas de e-mail para encontrar informações relacionadas a si mesmas.