Son TeamViewer Sömürüsü Siber Saldırısının Arkasında Rus APT29 Hacker Grubu Olabilir

Yaygın olarak kullanılan bir uzaktan bağlantı yazılımı sağlayıcısı olan TeamViewer, kurumsal ağında bir uzlaşma olduğunu bildirdi ve bazı kaynaklar saldırıyı bir Rus Gelişmiş Kalıcı Tehdit (APT) grubuna bağladı. 26 Haziran'da TeamViewer'ın güvenlik ekibi, dahili kurumsal BT ortamında bir "düzensizlik" tespit etti. Şirket, kullanıcılara bu ortamın ürün ortamından farklı olduğuna dair güvence vererek müşteri verilerinin etkilenmediğini belirtti. Bu güvenceye rağmen devam eden soruşturma, sistemlerin bütünlüğünü korumayı amaçlıyor.

TeamViewer'ın web sitesinde yer alan açıklamaya göre şu anda ihlalin ürün ortamını veya müşteri verilerini etkilediğini gösteren hiçbir kanıt bulunmuyor. Bununla birlikte, soruşturmalar devam ederken şirket ihtiyatlı olmaya devam ediyor. TeamViewer şeffaflık sözü verdi ve daha fazla bilgi geldikçe güncellemeler sağlayacak.

Jeffrey adlı bir Mastodon kullanıcısı, NCC Group'un tehdit istihbarat ekibinin, müşterilerini TeamViewer uzaktan erişim ve destek platformunun bir APT grubu tarafından "önemli ölçüde tehlikeye atıldığı" konusunda bilgilendirdiğini bildirerek, ihlal sosyal medyada dikkatleri üzerine çekti. Ayrıca, ABD merkezli Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Health-ISAC), güvenilir bir ortaktan gelen ve saldırının Cozy Bear veya Midnight Blizzard olarak da bilinen kötü şöhretli APT29 grubuna atfedildiği yönündeki istihbarata atıfta bulunarak bir uyarı yayınladı. Rus devleti destekli bu grup, önemli kuruluşlara karşı yüksek etkili siber saldırılar gerçekleştirmesiyle ünlüdür.

Health-ISAC'ın uyarısı, tehdit aktörlerinin uzaktan erişim araçlarını kullanırken gözlemlendiğine dikkat çekerek, kuruluşların günlüklerini olağan dışı uzak masaüstü trafiği açısından incelemelerini tavsiye etti. Kuruluş, bu tür tehditlerin tespit edilmesi ve azaltılmasında dikkatli olmanın önemini vurguladı.

APT29'un uzun bir siber casusluk geçmişi var ve genellikle hükümet ve diğer yüksek profilli kurumları hedef alıyor. Taktikleri, teknikleri ve prosedürleri (TTP'ler) iyi belgelenmiştir ve hedef ağlara sızmak ve bu ağlarda varlığını sürdürmek için uzaktan erişim araçlarından yararlanmayı içerir.

Bu son olay TeamViewer'ın siber suçlular tarafından ilk kez hedef alınışı değil. 2019 yılında TeamViewer, 2016 yılında Çin'de faaliyet gösterdiğine inanılan bir tehdit aktörü tarafından saldırıya uğradığını açıkladı. Şirket, müşteriler üzerinde etkisi olduğuna dair kanıt bulunmadığını öne sürerek ihlali hemen açıklamamayı tercih etti.

TeamViewer, en son ihlale yanıt olarak şeffaflığa olan bağlılığını vurguladı ve soruşturma ilerledikçe güncellemeler sağlamaya devam edecek. Şirketin öncelikli odağı, hem kurumsal hem de ürün ortamlarını koruyarak sistemlerinin güvenliğini ve bütünlüğünü sağlamaya devam ediyor.