TeamViewer quy kết hacker Nga đứng sau cuộc tấn công vào mạng công ty

Nhà phát triển phần mềm giám sát và quản lý từ xa TeamViewer cho biết, nhóm hacker Midnight Blizzard do nhà nước Nga bảo trợ đã đứng sau vụ xâm nhập mạng công ty hồi cuối tháng 6.

TeamViewer được các doanh nghiệp và người tiêu dùng sử dụng rộng rãi để giám sát và quản lý từ xa (RMM) các thiết bị trên mạng nội bộ.

Do chưa xác định được phạm vi của sự cố an ninh mạng, chuyên gia cảnh báo các bên liên quan giám sát kết nối nghi ngờ, có thể hacker đang cố khai thác lỗ hổng TeamViewer để có quyền truy cập vào các mạng khác.

Trong cập nhật mới về vụ việc, TeamViewer quy kết cuộc tấn công do nhóm hacker Midnight Blizzard (còn gọi là APT29, Nobelium hoặc Cosy Bear) thực hiện.

“Những phát hiện hiện tại của cuộc điều tra cho thấy cuộc tấn công vào ngày 26/6 liên quan tới thông tin xác thực của một tài khoản nhân viên trong môi trường CNTT công ty của chúng tôi”, theo thông báo từ TeamViewer.

“Dựa trên việc giám sát an ninh liên tục, chúng tôi đã phát hiện hành vi đáng ngờ của tài khoản này và ngay lập tức áp dụng các biện pháp ứng phó. Cùng với sự hỗ trợ bên ngoài, chúng tôi xác định hoạt động này do nhóm hacker APT29/Midnight Blizzard thực hiện”.

Công ty nhấn mạnh rằng cuộc điều tra không phát hiện dấu hiệu nào về việc môi trường sản xuất hoặc dữ liệu khách hàng bị truy cập. Mạng công ty và môi trường sản phẩm của TeamViewer tách biệt với nhau.

Mặc dù điều này khiến khách hàng của TeamViewer yên tâm, nhưng thông thường trong những sự cố như thế này hậu quả sẽ chưa dừng lại, đặc biệt với một nhóm hacker nguy hiểm như Midnight Blizzard. Do đó, tất cả khách hàng của TeamViewer nên kích hoạt xác thực đa yếu tố, thiết lập danh sách cho phép và chặn để chỉ người dùng xác thực mới có thể tạo kết nối cũng như giám sát kết nối mạng và nhật ký TeamViewer của mình.

Midnight Blizzard (còn gọi là Cosy Bear, Nobelium hoặc APT29) là nhóm hacker nguy hiểm có liên quan đến Cơ quan Tình báo Nước ngoài (SVR) của Nga. Nhóm liên quan đến nhiều cuộc tấn công khác nhau, chủ yếu là gián điệp mạng. Theo đó, Midnight Blizzard xâm nhập vào mạng lưới chính phủ và doanh nghiệp để âm thầm đánh cắp dữ liệu và giám sát thông tin liên lạc.

Chính phủ Hoa Kỳ cáo buộc nhóm hacker đứng sau vụ tấn công chuỗi cung ứng SolarWinds khét tiếng vào năm 2020. Gần đây hơn, Midnight Blizzard chuyển sự chú ý sang Microsoft với một loạt cuộc tấn công mạng. Năm 2023, hacker xâm nhập tài khoản Exchange Online của Microsoft để theo dõi và đánh cắp email từ ban lãnh đạo, nhóm an ninh mạng và nhóm pháp lý của công ty. Đáng chú ý là, Microsoft cho biết ban đầu nhóm hacker nhắm mục tiêu vào các tài khoản email để tìm thông tin liên quan đến mình.

Tháng 3/2024, Microsoft cho biết các hacker một lần nữa xâm nhập hệ thống của họ bằng cách sử dụng các thông tin thu được trong các email đánh cắp từ vụ việc trước đó. Midnight Blizzard đã truy cập một số hệ thống nội bộ và kho mã nguồn trong vụ việc.

Nguồn: Bleeping Computer