O desenvolvedor de software Remote Monitoring and Management (RMM) TeamViewer anunciou que um grupo de hackers apoiado pelo estado russo, conhecido como Midnight Blizzard, é tido como responsável por uma violação da sua rede corporativa esta semana.
O TeamViewer é amplamente utilizado por empresas e consumidores para o monitoramento remoto e gestão (RMM) de dispositivos em redes internas.
Como o escopo do incidente de cibersegurança não era conhecido, especialistas começaram a avisar os stakeholders para observarem conexões suspeitas que poderiam indicar atores de ameaças tentando usar a violação do TeamViewer para obter acesso a outras redes.
O TeamViewer compartilhou uma nova declaração afirmando que atribuem o ataque ao Midnight Blizzard (APT29, Nobelium, Cozy Bear).
O TeamViewer diz acreditar que sua rede corporativa interna, não seu ambiente de produção, foi violada na quarta-feira, dia 26 de junho, utilizando as credenciais de um funcionário.
"Os achados atuais da investigação apontam para um ataque na quarta-feira, dia 26 de junho, vinculado às credenciais de uma conta de funcionário padrão dentro do nosso ambiente de TI corporativo," lê-se na declaração atualizada do TeamViewer.
"Baseado no contínuo monitoramento de segurança, nossas equipes identificaram comportamento suspeito desta conta e imediatamente colocaram em ação medidas de resposta a incidentes.
Junto com nosso apoio externo de resposta a incidentes, atualmente atribuímos essa atividade ao ator de ameaça conhecido como APT29 / Midnight Blizzard."
A companhia enfatizou que sua investigação não mostrou nenhum indício de que o ambiente de produção ou dados de clientes foram acessados no ataque e que mantêm sua rede corporativa e ambiente de produto isolados um do outro.
"Seguindo a arquitetura de melhores práticas, temos uma forte segregação entre a TI Corporativa, o ambiente de produção, e a plataforma de conectividade TeamViewer," continua a declaração do TeamViewer.
Isso significa que mantemos todos os servidores, redes e contas estritamente separados para ajudar a prevenir acesso não autorizado e movimento lateral entre os diferentes ambientes.
Essa segregação é uma das múltiplas camadas de proteção na nossa abordagem de 'defesa em profundidade'.
Embora isso seja tranquilizador para os clientes do TeamViewer, é comum que em incidentes como este mais informações surjam posteriormente à medida que a investigação avança.
Isso é especialmente verdadeiro para um ator de ameaça tão avançado quanto a Midnight Blizzard.
Portanto, recomenda-se que todos os clientes do TeamViewer ativem a autenticação multifator, configurem uma lista de permissões e restrições para que apenas usuários autorizados possam fazer conexões, e monitorem suas conexões de rede e logs do TeamViewer.
Midnight Blizzard (também conhecido como Cozy Bear, Nobelium e APT29) é um grupo avançado de hacking patrocinado pelo estado, acreditado ser associado ao Serviço de Inteligência Estrangeira da Rússia (SVR).
Os atores de ameaça foram ligados a uma grande variedade de ataques, primariamente associados a ciberespionagem, nos quais violam redes governamentais e corporativas para silenciosamente roubar dados e monitorar comunicações.
O governo dos EUA ligou o grupo de hacking ao infame ataque à cadeia de suprimentos da SolarWinds em 2020, onde os atores de ameaça violaram a empresa para obter acesso ao seu ambiente de desenvolvimento.
A partir daí, eles adicionaram uma backdoor maliciosa a um arquivo DLL do Windows que foi então distribuído aos clientes da SolarWinds em um ataque à cadeia de suprimentos por meio de uma plataforma de atualização automática.
Esta DLL permitiu aos atores de ameaça monitorar alvos de alto valor, violar redes e roubar dados de seus ambientes.
Mais recentemente, a Midnight Blizzard voltou sua atenção para a Microsoft em uma série de ciberataques bem-sucedidos.
Em 2023, os atores de ameaça violaram contas corporativas do Exchange Online da Microsoft para monitorar e roubar e-mails das lideranças, equipes de cibersegurança e jurídicas da empresa.
Em particular, a Microsoft diz que inicialmente eles miraram contas de e-mail para encontrar informações relacionadas a eles mesmos.
Em março de 2024, a Microsoft disse que os atores de ameaça novamente violaram seus sistemas usando segredos encontrados nos e-mails que foram roubados no incidente anterior.
A Midnight Blizzard acessou alguns de seus sistemas internos e repositórios de código-fonte como parte desta violação.
Nos dois incidentes, os atores de ameaça utilizaram ataques de pulverização de senhas para violar contas corporativas e, então, usaram essas contas como trampolim para outras contas e dispositivos nos sistemas visados.
A Microsoft já havia compartilhado orientações para responder e investigar ataques pelo Midnight Blizzard.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...