TeamViewer hakovanje

TeamViewer hakovanje je otkriveno u okviru njegovih internih korporativnih IT sistema 26. juna 2024. godine i izazvalo je paniku na industrijskom nivou. TeamViewer softver koji omogućava daljinski pristup milionima korisnika širom sveta, pa svako njegovo ugrožavanje izaziva veliku zabrinutost u pogledu bezbednosti podataka i operativnog integriteta.

TEAMVIEWER HAKOVANJE

TeamViewer, softverska kompanija sa sjedištem u Njemačkoj, osnovana 2005. godine, pruža rješenja za daljinski pristup pojedincima i preduzećima širom sveta. Sa preko 640.000 kupaca i instalacijama na više od 2,5 milijardi uređaja, TeamViewer je jedan od najpopularnijih dobavljača alata za daljinski pristup koji korisnicima omogućavaju da daljinski kontrolišu druge računare ili uređaje kao da su fizički prisutni ispred njih. Međutim, ovakva popularnost dolazi sa rizicima, zlonamjerni akteri često zloupotrebljavaju ovaj softver za svoje zlonamjerne svrhe, kao što je postavljanje zlonamjernog softvera na uređaje žrtava.

Mir oko ovog naizgled bezbjednog softverskog rješenja narušen je kada su počele da kruže glasine o potencijalnom upadu u TeamViewer sisteme, bez zvanične potvrde kompanije. Međutim, 28. juna 2024. godine, TeamViewer je konačno priznao incident u zvaničnoj objavi na blogu. Istraga o ovom napadu je u toku, a prvi nalazi sugerišu da je došlo do upada 26. juna 2024. godine. Napadači su dobili pristup preko akreditiva standardnog naloga zaposlenog unutar TeamViewer korporativnog IT okruženja.

 

“Interno korporativno IT TeamViewer okruženje potpuno je nezavisno od okruženja proizvoda. Nema dokaza koji bi ukazivali na to da je to uticalo na okruženje proizvoda ili podatke o kupcima. Istrage su u toku i naš primarni fokus ostaje da osiguramo integritet naših sistema.”

– TeamViewer –

 

Saopštenje je pokušalo da umanji ozbiljnost situacije navodeći da nema dokaza koji ukazuju na kompromitovanje njihovog okruženja proizvoda ili podataka o kupcima. Interno korporativno IT TeamViewer okruženje je navodno odvojeno od okruženja proizvoda, što bi potencijalno moglo da ograniči uticaj ako dođe do upada. Međutim, ovaj incident je zabrinuo mnoge korisnike i kupce zbog osjetljive prirode alata za daljinski pristup i njihovog potencijala za široko rasprostranjenu štetu.

Tačan metod kojim su kompromitovani akreditivi zaposlenih u kompaniji TeamViewer u ovom trenutku ostaje nepoznat. Kompanija je odbila da odgovori na niz pitanja u vezi sa tim. Međutim, poznato je da softver TeamViewer može biti zloupotrebljen u zlonamjerne svrhe, kao što je daljinsko postavljanje zlonamjernog softvera na uređaje žrtve. U objavi na blogu, TeamViewer naglašava svoju posvećenost transparentnosti i kontinuiranim ažuriranjima u vezi sa statusom istrage kako nove informacije postanu dostupne. Oni takođe podstiču organizacije da ostanu budne, preispitaju svoje protokole za daljinski pristup i daju prioritet tekućim inicijativama za obuku o bezbednosti u svjetlu ovog incidenta.

 

Uzbunjivači

NCC Group je vodeća kompanija za bezbjednost informacija sa sjedištem u Mančesteru, Velika Britanija, koja pruža usluge sajber bezbjednosti kao što su procjene rizika, penetracijsko testiranje i upravljane bezbjednosne usluge. NCC grupa je među prvima saznala za TeamViewer incident i počela upozoravati korisnike svojih usluga na značajnu TeamViewer kompromitaciju od strane napredne trajne prijetnje (eng. Advanced persistent threat – APT), ali u ovom trenutku nije podijelila nikakve dodatne detalje o svojoj umješnosti ili nalazima u vezi sa tim.

 

“Kao dio naše usluge obavještajnih podataka o prijetnji našim klijentima, redovno izdajemo upozorenja na osnovu različitih izvora i obavještajnih podataka. U ovom trenutku, nemamo šta više da dodamo upozorenju koje je poslato našim klijentima.”

– NCC Group –

 

Health-ISAC je neprofitna organizacija posvećena unapređenju sajber bezbjednosti za subjekte u zdravstvenoj industriji i kritične infrastrukturne partnere. Oni rade pod okriljem Međunarodnog društva za zdravstvenu informacionu bezbjednost i tehnologiju (eng. International Society for Healthcare Information Security & Technology – ISHIT) i sarađuju sa različitim zainteresovanim stranama u zdravstvenom sektoru kako bi se zajednički bavili izazovima sajber bezbednosti.

Dana 27. juna 2024. godine, pouzdani obavještajni partner Health-ISAC je navodno podijelio informacije o naprednoj trajnoj prijetnja (APT) pod nazivom APT29, za koju se vjeruje da je povezana sa Ruskom Spoljnom obavještajnom službom – SVR (rus. Служба внешней разведки Российской Федерации – СВР РФ). Ova grupa je optužena za TeamViewer iskorišćavanje i dobijanje neovlaštenog pristupa mreži zdravstvene organizacije. Tačna priroda i obim upada za sada nisu poznati.

 

Uticaj na korisnike

Posljedice ovog napada su dalekosežne i potencijalno razorne. Pristup APT29 grupe TeamViewer okruženju bi mogao da im pruži uporište u bezbroj mreža, omogućavajući im da se kreću bočno i eskaliraju privilegije po potrebi. Ovo je posebno zabrinjavajuće imajući u vidu istoriju grupe špijunskih aktivnosti usmjerenih na vladine agencije, diplomatske institucije i druge veoma vrijedne mete.

TeamViewer je odgovorio na ovaj incident izdavanjem saopštenja u četvrtak, umanjujući upad koji su pretrpjeli. Prema njihovoj najavi, TeamViewer interno korporativno IT okruženje je potpuno nezavisno od okruženja proizvoda. Nije bilo dokaza, tvrdili su, da je to uticalo na okruženje proizvoda ili podatke o kupcima. Međutim, s obzirom na prirodu APT29 grupe i potencijalni uticaj kompromisa ovog obima, mnogi u zajednici sajber bezbednosti i dalje su skeptični prema procijeni kompanije TeamViewer.

Incident služi kao veoma važan podsjetnik na uporne i evoluirajuće sajber prijetnje sa kojima se organizacije suočavaju, čak i od naizgled sigurnih i pouzdanih softverskih rješenja. Zlonamjerni akteri kontinuirano prilagođavaju svoje taktike, iskorišćavaju nove ranjivosti i koriste sofisticirane alate za hakovanje kako bi kompromitovali sisteme i eksfiltrirali osjetljive podatke. U ovom slučaju, upotreba TeamViewer od strane APT29 grupe kao vektora za njihov napad na korisnike naglašava važnost obezbjeđivanja rješenja za daljinski pristup i održavanja jakih higijenskih praksi sajber bezbednosti u IT infrastrukturi organizacije.

 

APT29

APT29 (poznata još pod nazivima CozyBear, The Dukes, Group 100, CozyDuke, EuroAPT, CozyCar, Cozer, Office Monkey, YTTRIUM, Iron Hemlock, Iron Ritual, Cloaked Ursa, Nobelium, Group G0016, UNC2452, Dark Halo, NobleBarron) je visoko sofisticirana hakerska grupa koju sponzoriše država i koja je povezana sa Ruskom spoljnom obavještajnom službom (SVR). Ova organizacija za sajber kriminal stekla je ozloglašenost zbog svog učešća u raznim visokoprofilnim sajber napadima i špijunskim kampanjama. Taktike grupe su poznate po svojoj jednostavnosti, ali djelotvornosti, što ih čini strašnom prijetnjom organizacijama širom sveta.

Veoma malo zlonamjernih aktera pokazuje pokazuje tehničku disciplinu i sofisticiranost APT29 grupe, posebno u sposobnosti da se prilagodi odbrambenim taktikama sajber bezbjednosti, prodre u dobro zaštićene mreže i primjeni zlonamjerni softver sa anti-forenzičkim mogućnostima. Poznato je da APT29 koristi niz taktika u svojim napadima, uključujući phishing elektronsku poštu sa zlonamjernim prilozima ili vezama, iskorišćavanje ranjivosti nultog dana i korišćenje ukradenih akreditiva za dobijanje početnog pristupa ciljanim mrežama. Kada uđu, kreću se bočno preko mreže, povećavajući privilegije po potrebi da bi postigli svoje ciljeve. Njihov krajnji cilj je često eksfiltracija podataka, prikupljanje obavještajnih podataka ili ometajuće aktivnosti osmišljene da izazovu štetu ili poremećaj.

APT29  je prvi put otkriven 2014. godine kada je identifikovan kao jedna od dvije ruske hakerske grupe koje su ušle mrežu Demokratskog nacionalnog komiteta (eng. Democratic National Committee – DNC). Aktivnosti grupe su se u početku pripisivale grupi APT28, poznatoj još kao Fancy Bear, ali je kasnija analiza otkrila da su to zapravo dva različita entiteta. Vjeruje se da je APT29  grupa aktivna najmanje od 2008. godine i da je poznato da se fokusira na prikupljanje obavještajnih podataka za rusku vladu. Poznato da je APT29 grupa cilja različite organizacije u energetskom sektoru, uključujući i one koje se bave proizvodnjom nuklearne energije, kao i vazduhoplovnu industriju.

Jedan od najznačajnijih napada APT29 grupe bio je drugi napad protiv Demokratskog nacionalnog komiteta (DNC) tokom ciklusa predsjedničkih izbora u Sjedinjenim Američkim Državama 2016. godine. Grupa je dobila pristup DNC mreži kompromitujući nalog elektronske pošte nižeg zaposlenog, koristeći to početno uporište za bočno kretanje i eksfiltriranje osjetljivih podataka. Ovaj napad je rezultirao krađom i naknadnim objavljivanjem hiljada poruka elektronske pošte i drugih dokumenata, što je izazvalo značajne političke posljedice za Demokratsku stranku.

APT29 radi sa visokim stepenom sofisticiranosti i profesionalizma, često koristeći prilagođeni zlonamjerni softver i alate prilagođene određenim ciljevima. Poznati su po svojoj sposobnosti da ostanu neotkriveni dugi period, ponekad mjesecima ili čak godinama, pre nego što budu otkriveni. To ih čini posebno opasnim, jer mogu da eksfiltriraju osjetljive podatke bez izazivanja sumnje.

 

ZAKLJUČAK

Napad na TeamViewer predstavlja značajnu prijetnju i za pojedinačne i za korporativne mreže širom sveta zbog svoje široke upotrebe kao rješenja za daljinski pristup. Implikacije ovog incidenta su dalekosežne, sa potencijalno ozbiljnim posljedicama za organizacije koje su se oslanjale na TeamViewer softver za svoje potrebe za daljinskim pristupom. Kako se istraga o ovom napadu nastavlja, organizacije se pozivaju da ostanu na oprezu i preispitaju svoje protokole za daljinski pristup. Davanje prioriteta tekućim inicijativama za podizanje svesti o bezbednosti je takođe ključno za ublažavanje rizika koje predstavljaju sofisticirane grupe kao što je APT29 grupa.

Ovo uključuje edukaciju zaposlenih o phishing napadima, praksama jakih lozinki i važnosti autentifikacije u više koraka za sve naloge koji daju pristup osjetljivim podacima ili sistemima. Potencijalni uticaj na mreže širom sveta mogao bi biti razoran ako zlonamjerni akteri budu u stanju da iskoriste ovo uporište kao odskočnu dasku za dalje napade. Organizacije moraju da ostanu budne i da preduzmu proaktivne korake da obezbijede svoja rješenja za daljinski pristup, da daju prioritet tekućim inicijativama za podizanje svesti o bezbednosti i da budu informisane o najnovijim prijetnjama i ranjivostima u okruženju sajber bezbednosti.

 

ZAŠTITA

U svjetlu napada na TeamViewer koju su izazvali akteri napredne trajne prijetnje koje sponzoriše država, kao što je APT29, od ključne je važnosti za organizacije i pojedinačne korisnike da preduzmu hitne korake da obezbijede svoje sisteme i smanje potencijalnu štetu. Evo nekih preporučenih radnji:

1. Omogućiti autentifikaciju u više koraka (eng. Multi-Factor Authentication – MFA), jer je to ono što i TeamViewer snažno savjetuje svim svojim klijentima da omoguće na svojim nalozima kao dodatni nivo bezbednosti. To će pomoći u zaštiti od neovlaštenog pristupa, čak i ako je lozinka korisnika ugrožena,
2. Organizacije treba da konfigurišu dozvoljene liste koje dozvoljavaju veze samo sa ovlašćenih korisnika ili IP adresa. Pored toga, oni mogu da postave liste blokiranja kako bi spriječili veze iz poznatih zlonamjernih izvora. Ovo će pomoći da se osigura da se unutar mreže uspostavljaju samo pouzdane TeamViewer sesije,
3. Potrebno je redovno nadgledati mrežni saobraćaj organizacije za bilo kakvu neuobičajenu aktivnost u vezi sa TeamViewer softverom ili drugim alatima za daljinski pristup. Pored toga, pregled TeamViewer evidencije može pružiti dragocjene uvide u pokušaje neovlaštenog pristupa ili sumnjivih aktivnosti,
4. Osigurati da je sav softver, uključujući TeamViewer i druge aplikacije nezavisnih proizvođača, ažuriran najnovijim bezbjednosnim ispravkama radi zaštite od poznatih ranjivosti. Ovo će pomoći da se smanji rizik od eksploatacije od strane prijetnji,
5. Primjenjivati jake politike lozinki za sve korisnike koji pristupaju sistemima organizacije ili koriste alatke za daljinski pristup kao što je TeamViewer. Ovo uključuje zahtevanje složenih, jedinstvenih lozinki i redovne promjene lozinki kako bi se smanjila vjerovatnoća kompromitovanja akreditiva,
6. Obezbijediti obuku i resurse kako bi se pomoglo zaposlenima da razumiju najbolje bezbjednosne prakse kada je u pitanju korišćenje alata za daljinski pristup kao što je TeamViewer. Ovo može uključivati teme kao što su upravljanje lozinkama, prepoznavanje phishing elektronske pošte za krađu identiteta i izbjegavanje sumnjivih veza ili priloga,
7. Razmislite o primjeni modela nultog povjerenja (eng. zero trust model) za politike pristupa mreži organizacije. To znači da svi korisnici, uređaji i aplikacije moraju biti verifikovani pre nego što im se odobri pristup osjetljivim resursima, bez obzira na njihovu lokaciju ili uređaj koji koriste,
8. Osigurati da se kritični podaci redovno čuvaju pravljenjem rezervne kopije i bezbjedno skladište i lokalno i u oblaku. U slučaju ugrožavanja ili ransomware napada, posjedovanje rezervnih kopija može pomoći da se smanji vreme zastoja i potencijalni gubitak podataka,
9. Primjenjivati segmentaciju mreže da bi se ograničilo bočno kretanje zlonamjernih aktera unutar mreža organizacije. Ovo će pomoći da se zadrži svaka potencijalna šteta uzrokovana upadom i olakšaće izolaciju pogođenih sistema radi sanacije,
10. Ako postoji sumnja da je organizacija ugrožena ili ako je potrebna dodatna stručnost da se istraže sumnjivi incident u vezi sa TeamViewer, razmisliti o angažovanju spoljnih stručnjaka za sajber bezbjednost sa iskustvom u rukovanju naprednim zlonamjernim akterima kao što je APT29. Oni mogu pomoći u pružanju vrijednih uvida i smjernica o naporima na sanaciji i poboljšanju opšteg bezbjednosnog položaja.

Preduzimajući ove korake, organizacije i pojedinačni korisnici mogu se bolje zaštititi od potencijalnih posljedica napada na TeamViewer ili sličnih incidenata izazvanih sofisticiranim zlonamjernim akterima koje sponzoriše država kao što je APT29.