TeamViewer, konuyla ilgili yaptığı ilk açıklamada “26 Haziran 2024 Çarşamba günü, güvenlik ekibimiz TeamViewer’ın dahili kurumsal BT ortamında bir düzensizlik tespit etti” dedi ve ekledi: “Müdahale ekibimizi ve prosedürlerimizi derhal etkinleştirdik, dünyaca ünlü siber güvenlik uzmanlarından oluşan bir ekiple birlikte incelemelere başladık ve gerekli düzeltme önlemlerini uyguladık.”
Şirket, ihlal konusunda şeffaf olmayı planladığını ve daha fazla bilgi elde edildikçe soruşturmanın durumunu sürekli olarak güncelleyeceğini belirterek şunları söylüyor: “TeamViewer’ın dahili kurumsal BT ortamı, ürün ortamından tamamen bağımsızdır. Ürün ortamının veya müşteri verilerinin etkilendiğini gösteren hiçbir kanıt yoktur. Soruşturmalar devam ediyor ve öncelikli odak noktamız sistemlerimizin bütünlüğünü sağlamak olmaya devam ediyor.”
Ancak, şeffaf olmayı hedeflediklerini söylemelerine rağmen, “TeamViewer IT güvenlik güncellemesi” sayfası, belgenin arama motorları tarafından indekslenmesini engelleyen ve dolayısıyla bulunmasını zorlaştıran bir <meta name=”robots” content=”noindex”> HTML etiketi içeriyor.
TeamViewer saldırısı neden önemli?
TeamViewer, kullanıcıların bir bilgisayarı uzaktan kontrol etmelerini ve cihazın önünde oturuyormuş gibi kullanmalarını sağlayan çok popüler bir uzaktan erişim yazılımı. Şirket, ürününün şu anda dünya çapında 640.000’den fazla müşteri tarafından kullanıldığını ve şirketin piyasaya sürülmesinden bu yana 2,5 milyardan fazla cihaza yüklendiğini söylüyor.
TeamViewer, ürün ortamının veya müşteri verilerinin ihlal edildiğine dair herhangi bir kanıt olmadığını belirtirken, hem tüketici hem de kurumsal ortamlarda yoğun kullanımı, dahili ağlara tam erişim sağlayacağı için herhangi bir ihlali önemli bir güvenlik sorunu anlamına geliyor.
Saldırının arkasında Rus APT29 grubu olduğu iddia ediliyor
İhlal haberi ilk olarak Mastodon’da, hükümet, güvenlik uzmanları ve Hollanda şirketleri tarafından siber güvenlik tehditleri hakkında bilgi paylaşmak için kullanılan bir web portalı olan Hollanda Dijital Güven Merkezi’nde paylaşılan bir uyarının bölümlerini paylaşan BT güvenlik uzmanı Jeffrey tarafından bildirildi.
Sağlık uzmanlarının tehdit istihbaratını paylaştığı bir topluluk olan Health-ISAC’tan bugün gelen bir uyarıda da TeamViewer hizmetlerinin Cozy Bear, NOBELIUM ve Midnight Blizzard olarak da bilinen Rus hack grubu APT29 tarafından aktif olarak hedef alındığı iddia edildi. Jeffrey tarafından paylaşılan Health-ISAC uyarısında, “27 Haziran 2024 tarihinde Health-ISAC, güvenilir bir istihbarat ortağından APT29’un Teamviewer’ı aktif olarak kullandığına dair bilgi aldı” ifadeleri yer alıyor.
APT29, Rusya’nın Dış İstihbarat Servisi (SVR) ile bağlantılı bir Rus gelişmiş ve kalıcı tehdit grubu. Hacker grubu siber casusluk yetenekleriyle tanınıyor ve yıllar içinde Batılı diplomatlara yönelik saldırılar ve Microsoft’un kurumsal e-posta ortamının yakın zamanda ihlal edilmesi de dahil olmak üzere çok sayıda saldırıyla ilişkilendirildi.