اكتشف برنامج TeamViewer خرق أمني في تقنية المعلومات الخاصة بالشركة
أعلنت TeamViewer أنها اكتشفت "مخالفة" في بيئة تقنية المعلومات الداخلية الخاصة بالشركة في 26 يونيو 2024.
وأعلنت الشركة في بيان: "قمنا فورًا بتفعيل فريق الاستجابة والإجراءات، وبدأنا التحقيقات بالتعاون مع فريق من خبراء الأمن السيبراني العالميين وطبقنا التدابير التصحيحية اللازمة."
وأشارت أيضًا إلى أن بيئة تقنية المعلومات الخاصة بالشركة معزولة تمامًا عن بيئة المنتج، وأنه لا يوجد أي دليل يشير إلى أن بيانات العملاء قد تأثرت نتيجة للحادث.
لم تفصح الشركة عن أي تفاصيل حول من قد يكون وراء الاختراق وكيف تمكنوا من القيام بذلك، لكنها أفادت إن التحقيق جارٍ وأنها ستوفر تحديثات للحالة عندما تتوفر معلومات جديدة.
يقع مقر TeamViewer في ألمانيا، وهي الشركة المطورة لبرنامج المراقبة والإدارة عن بُعد (remote monitoring and management - RMM) الذي يسمح لمقدمي الخدمات المُدارة (managed service providers - MSPs) وأقسام تقنية المعلومات بإدارة الخوادم ومحطات العمل وأجهزة الشبكة والنقاط الطرفية. يستخدمه أكثر من 600 ألف عميل.
ومن المثير للاهتمام أن مركز تبادل وتحليل المعلومات الصحية في الولايات المتحدة (Health-ISAC) أصدر نشرة حول استغلال جهات تهديدية نشطة لـ TeamViewer، وفقًا لجمعية المستشفيات الأمريكية (American Hospital Association - AHA).
أفادت المنظمة: "لوحظ أن الجهات التهديدية تستغل أدوات الوصول عن بُعد". "تمت ملاحظة استغلال TeamViewer من قبل الجهات التهديدية المرتبطة بـ APT29."
لا يزال من غير الواضح في هذه المرحلة ما إذا كان هذا يعني أن المهاجمين يستغلون نقاط الضعف في TeamViewer لاختراق شبكات العملاء، أو يستخدمون ممارسات أمنية سيئة لاختراق الأهداف ونشر البرنامج، أو أنهم نفذوا هجومًا على أنظمة TeamViewer نفسها.
APT29، المعروفة أيضًا بأسماء BlueBravo وCloaked Ursa وCozy Bear وMidnight Blizzard وThe Dukes، هي جهة تهديد ترعاها الدولة وترتبط بجهاز الاستخبارات الخارجية الروسي (SVR). مؤخرًا، ارتبطت هذه الجهة بالاختراقات التي طالت Microsoft وHewlett Packard Enterprise (HPE).
كشفت Microsoft منذ ذلك الحين أن بعض صناديق البريد الإلكتروني للعملاء تم الوصول إليها أيضًا من قبل APT29 بعد الاختراق الذي ظهر في وقت سابق من هذا العام، وفقًا لتقارير من Bloomberg وReuters.
ونُقل عن الشركة لوكالة الأنباء: "هذا الأسبوع نواصل إبلاغ العملاء الذين تواصلوا مع حسابات البريد الإلكتروني التابعة لشركة Microsoft والتي تم تسريبها من قبل جهة التهديد Midnight Blizzard ".
نسبت TeamViewer الهجوم إلى APT29، مشيرة إلى أنه استهدف بيانات الاعتماد المرتبطة بحساب موظف داخل بيئة تقنية المعلومات الخاصة بالشركة.
وأعلنت في تنبيه معدّل: "استنادًا إلى المراقبة الأمنية المستمرة، حددت فرقنا سلوكًا مريبًا لهذا الحساب وبدأت فورًا في اتخاذ تدابير الاستجابة للحوادث". "لا يوجد دليل على أن جهة التهديد وصلت إلى بيئة منتجاتنا أو بيانات العملاء."
وقد أوصت مجموعة NCC، التي أبلغت لأول مرة عن الخرق عبر إفصاح محدود بسبب الاستخدام الواسع للبرنامج، بإزالة البرنامج "حتى تتوفر مزيد من التفاصيل حول نوع الانتهاك الذي تعرض له TeamViewer".