เครือข่ายองค์กรของ TeamViewer ถูกบุกรุกจากการโจมตีของกลุ่ม APT

TeamViewer บริษัทซอฟต์แวร์สำหรับ Remote Access ออกมายืนยันว่าระบบของบริษัทได้ถูกโจมตีทางไซเบอร์เมื่อวันที่ 26 มิถุนายน ที่ผ่านมา โดยบริษัทคาดว่าผู้โจมตีเป็นกลุ่ม APT

TeamViewer ระบุในโพสต์บน Trust Center ว่า "เมื่อวันพุธที่ 26 มิถุนายน 2024 ทีมรักษาความปลอดภัยของบริษัท ได้ตรวจพบความผิดปกติในระบบไอทีภายในของ TeamViewer"

"บริษัทได้ใช้มาตรการ และขั้นตอนด้านความปลอดภัยทันที เริ่มจากการสอบสวนร่วมกับทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงระดับโลก และดำเนินการแก้ไขที่จำเป็น"

"ระบบไอทีภายในของ TeamViewer ถูกแยกออกจากระบบหลักโดยสิ้นเชิง ยังไม่มีหลักฐานที่แสดงให้เห็นว่าระบบหลัก หรือข้อมูลของลูกค้าได้รับผลกระทบ แต่การตรวจสอบยังคงมีการดำเนินต่อไป และเป้าหมายหลักของบริษัทยังคงเป็นการรักษาความสมบูรณ์ของระบบ"

โดยบริษัทระบุว่ามีแผนที่จะตรวจสอบเพื่อสร้างความชัดเจนเกี่ยวกับการถูกโจมตี และจะอัปเดตสถานะการตรวจสอบอย่างต่อเนื่องเมื่อมีข้อมูลเพิ่มเติม

TeamViewer เป็นซอฟต์แวร์สำหรับ Remote Access ที่ได้รับความนิยมอย่างมาก ซึ่งช่วยให้ผู้ใช้สามารถควบคุมคอมพิวเตอร์จากระยะไกล และใช้งานได้ราวกับว่านั่งอยู่หน้าอุปกรณ์ บริษัทระบุว่าปัจจุบันมีลูกค้าใช้งานมากกว่า 640,000 รายทั่วโลก และมีการติดตั้งบนอุปกรณ์มากกว่า 2.5 พันล้านเครื่องนับตั้งแต่บริษัทเปิดตัว

แม้ว่า TeamViewer จะระบุว่าไม่มีหลักฐานว่าระบบหลัก หรือข้อมูลของลูกค้าถูกละเมิด แต่การใช้งานอย่างแพร่หลายทั้งในระดับผู้บริโภค และระดับองค์กร ทำให้การถูกโจมตีของ TeamViewer เป็นเรื่องที่น่ากังวลอย่างมาก เนื่องจากอาจจะทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในได้อย่างเต็มรูปแบบ

ในปี 2019 TeamViewer เคยยืนยันเหตุการณ์การถูกโจมตีในปี 2016 ที่เชื่อมโยงกับกลุ่มแฮ็กเกอร์ชาวจีน เนื่องจากการใช้แบ็กดอร์ Winnti โดยบริษัทระบุว่าไม่ได้เปิดเผยการถูกโจมตีในช่วงเวลานั้น เนื่องจากไม่มีการขโมยข้อมูลจากการโจมตี

กลุ่ม APT ที่ถูกกล่าวหาว่าอยู่เบื้องหลังการโจมตี

ข่าวการโจมตีถูกเปิดเผยครั้งแรกบน Mastodon โดย Jeffrey ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอที ซึ่งแชร์ส่วนหนึ่งของการแจ้งเตือนบน Dutch Digital Trust Center ซึ่งเป็นเว็บพอร์ทัลที่ใช้โดยรัฐบาล ผู้เชี่ยวชาญด้านความปลอดภัย และบริษัทในเนเธอร์แลนด์เพื่อแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามด้านความปลอดภัยทางไซเบอร์

การแจ้งเตือนจากบริษัทด้านความปลอดภัยทางไซเบอร์ NCC Group ระบุว่า "ทีม Global Threat Intelligence ของ NCC Group ได้รับทราบถึงการถูกโจมตีของ TeamViewer โดยกลุ่ม APT"

"เนื่องจากการใช้งานซอฟต์แวร์นี้อย่างแพร่หลาย การแจ้งเตือนต่อไปนี้จึงถูกส่งต่อเพื่อความปลอดภัยของลูกค้า"

การแจ้งเตือนจาก Health-ISAC ซึ่งเป็นชุมชนสำหรับผู้เชี่ยวชาญด้านการดูแลสุขภาพเพื่อแบ่งปันข้อมูลด้านภัยคุกคาม ได้แจ้งเตือนในวันนี้ว่าบริการของ TeamViewer ถูกโจมตีจากกลุ่มแฮ็กเกอร์ชาวรัสเซีย APT29 ซึ่งรู้จักกันในชื่อ Cozy Bear, NOBELIUM และ Midnight Blizzard

APT29 เป็นกลุ่มแฮ็กเกอร์ที่มีความสามารถสูงของรัสเซีย ที่มีความเกี่ยวข้องกับหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) กลุ่มดังกล่าวเป็นที่รู้จักในด้านความสามารถในการโจมตีทางไซเบอร์ และมีความเกี่ยวข้องกับการโจมตีมากมายในช่วงหลายปีที่ผ่านมา รวมถึงการโจมตีนักการทูตตะวันตก และการโจมตีอีเมลขององค์กรของ Microsoft เมื่อเร็ว ๆ นี้

แม้ว่าการแจ้งเตือนจากทั้งสองบริษัทจะเป็นเวลาเดียวกับที่ TeamViewer เปิดเผยเหตุการณ์ แต่ยังไม่ชัดเจนว่ามีความเกี่ยวข้องกันหรือไม่ เนื่องจากการแจ้งเตือนของ TeamViewer และ NCC กล่าวถึงการโจมตีระบบขององค์กร ในขณะที่การแจ้งเตือนของ Health-ISAC เน้นไปที่การโจมตีการเชื่อมต่อของ TeamViewer มากกว่า

อัปเดต: ปัจจุบัน TeamViewer ระบุว่าการโจมตีดังกล่าวมาจากกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียที่รู้จักกันในชื่อ Midnight Blizzard

ที่มา : bleepingcomputer