知名远端桌面程式供应商TeamViewer公告疑似遭到俄罗斯骇客骇入公司网路,但强调客户资料和产品未被骇客存取。
TeamViewer安全部门于上周三(6/26)侦测到内部IT环境有不正常活动,一名员工帐号遭到未经授权人士存取,立即回应阻止并和外部专家启动调查,并实施补正措施。
上周五,TeamViewer公布初步调查结果。证据显示,这起事件可能和APT 29或微软称之为Midnight Blizzard的俄罗斯骇客有关。Midnight Blizzard正是2020年骇入IT管理软体SolarWinds供应链的组织,借由在其Windows DLL档案植入后门,再透过SolarWinds软体更新部署给其政府和企业用户,以对用户发动间谍攻击。去年11月Midnight Blizzard利用密码泼洒成功入侵微软Exchange Online测试帐号,存取高层、法务及网路安全部门信件,今年再度攻击微软,3月该公司证实,俄国骇客利用之前攻击获得的员工凭证,已经存取微软内部系统和产品程式码。
但TeamViewer表示,公司内部IT环境、产品环境和TeamViewer的连线平台是相互隔离的,旨在防范未授权存取和不同环境间的横向移动,且该公司采取多层次的纵深防护策略。TeamViewer指出,没有证据显示其产品环境或客户资料受到影响。但该公司强调会持续调查。
TeamViewer是很受欢迎的远端桌面程式及远端装置管理方案,因而也成骇客下手的偏好目标。2016年它就曾遭中国骇客入侵并植入后门程式,但当时并未主动公布此事。去年10月安全研究人员揭露,俄罗斯骇客Romcom发动攻击,滥用TeamViewer以DLL侧载(DLL Side-loading)手法,在受害电脑上执行RAT程式。