حمله هکرهای روسی به سیستم فناوری اطلاعات تیم ویوئر

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در بیانیه ای به روز شده، این شرکت یک حادثه تازه را به گروه هکری ای پی تی ۲۹ (APT29) نسبت داد که با نام های بلو براوو (BlueBravo)، کوزی بر (Cozy Bear) و میدنایت بلیزارد (Midnight Blizzard) نیز شناخته می شود.

این گروه که گفته می شود در سرویس اطلاعات خارجی روسیه (SVR) مستقر است، در چندین مورد از مهم ترین هک های دهه گذشته از جمله هک شرکت سولار ویندز (SolarWinds) در سال 2020 و حمله به کمیته ملی دموکرات در سال 2016 دست داشته است.

شرکت تیم ویوئر (TeamViewer) توضیح داد که هک روز چهارشنبه علیه اعتبار حساب استاندارد یکی از کارمندان در محیط فناوری اطلاعات شرکت انجام شده است.

طبق این بیانیه، شبکه فناوری اطلاعات شرکت از سایر سیستم‌های شرکت جدا شده است و هیچ مدرکی که نشانگر دسترسی گروه ای پی تی ۲۹ به محیط محصول یا داده‌های مشتری باشد، یافت نشده است.

این شرکت توضیح داد:

این موضوع بدان معناست که ما همه سرورها، شبکه‌ها و حساب‌ها را کاملاً مجزا نگه می‌داریم تا از دسترسی غیرمجاز و حرکت جانبی بین محیط‌های مختلف جلوگیری کنیم.

سخنگوی این شرکت به چندین سوال در مورد اینکه چه سیستم‌ها یا داده‌هایی توسط این گروه هکری در دسترس بوده اند، پاسخ نداد.

در به‌روزرسانی بعد از ظهر جمعه، شرکت تأیید کرد که این حمله در محیط داخلی فناوری اطلاعات انجام شده و اکنون مهار شده است و به محیط محصول، پلتفرم اتصال یا هیچ داده‌ای از مشتریان آسیب وارد نکرده است.

این شرکت متعهد شد که به بررسی این موضوع ادامه دهد.

این حادثه روز پنجشنبه زمانی رخ داد که چندین سازمان شروع به هشدار به مشتریان و اعضا در مورد حمله گروه ای پی تی ۲۹ به شرکت تیم ویوئر کردند.

شرکت امنیت سایبری گروه ان سی سی (NCC Group) و یک ائتلاف امنیت سایبری صنعت مراقبت های بهداشتی، هر دو هشدارهایی را در مورد این حمله صادر کرده بودند.

مت هال، رئیس اطلاعات تهدیدات جهانی، توصیه کرد که تا زمانی که اطلاعات بیشتر به دست نیاید، حذف نرم افزار تیم ویوئر به کاهش هرگونه خطر احتمالی از طریق این بردار کمک خواهد کرد.

هال در ادامه افزود:

ما همچنین توصیه می‌کنیم میزبان‌هایی که این دستگاه را نصب کرده‌اند، از نظر رفتار غیرعادی که ممکن است نشان دهد قبلاً به خطر افتاده است، بررسی کنید. اگر نمی توانید برنامه را حذف کنید، قرار دادن آن هاست ها با نصب آن تحت نظارت شدید ممکن است اطمینان بیشتری به شما بدهد.

جان هالتکوئیست، تحلیلگر ارشد شرکت امنیتی ماندیانت گوگل کلود (Google Cloud Mandiant)، اظهار کرد که گروه ای پی تی ۲۹ یکی از چالش برانگیزترین عواملی است که آنها ردیابی می کنند و دریافته اند که این گروه شرکت های فناوری در هر اندازه را هدف قرار می دهند.

او معتقد است که این گروه معمولاً سعی می کند شناسایی نشود، اما از انجام این حملات جسورانه زنجیره تامین نمی ترسد.

هالتکویست بیان کرد که تمرکز ای پی تی ۲۹ بر روی به دست آوردن اطلاعاتی است که به کرملین کمک می کند تا تصمیمات استراتژیک بگیرد، به ویژه داده هایی را هدف قرار می دهد که بینشی در مورد امور خارجی ارائه می دهد.

گروه ای پی تی ۲۹ اخیراً در یک حمله بزرگ به مایکروسافت دخیل بود که ایمیل‌های چندین آژانس فدرال ایالات متحده را که احتمالا حاوی جزئیات یا اعتبارنامه‌های احراز هویت باشد، افشا کرد.

بلومبرگ پنجشنبه شب گزارش داد که مایکروسافت شروع به اطلاع رسانی به سازمان های بیشتری از دسترسی به ایمیل و سایر اطلاعات آنها به عنوان بخشی از حمله این گروه کرده است.

هالتکویست خاطرنشان کرد که گروه ای پی تی ۲۹ اخیراً احزاب سیاسی در آلمان را نیز هدف قرار داده است.

او در پایان تصریح کرد:

به دلیل درگیری در اوکراین، سرویس‌های امنیتی روسیه برای حمایت از اقدامات جنگی و رهبری روسیه تحت فشار زیادی قرار دارند. این فشار در هر جایی که به این جاسوسان وسیله ای برای جمع آوری اطلاعات ارائه دهد، احساس خواهد شد.