吳明宜遠端桌面軟體開發商 TeamViewer 上周公告被俄羅斯國家駭客組織 Midnight Blizzard 駭入公司網路。
BleepingComputer 上周首先報導 TeamViewer 遭駭,網路安全專家及醫院紛紛警告用戶檢查是否有裝置異常連線問題。
TeamViewer 的產品常用於企業對內部網路裝置的遠端監控與管理 (remote monitoring and management, RMM) 。由於它可存取裝置,因此異常連線可能意謂著有人利用 TeamViewer 已存取裝置以便未來發動攻擊。
上周 TeamViewer 在公告遭駭後隔天又發表聲明,將駭入事件歸咎為 Midnight Blizzard,又稱 APT 29 、 Nobelium 或 Cozy Bear 。但 TeamViewer 相信,駭客是利用某名員工帳號駭入,但只存取它公司內部網路,並非產品營運環境。該公司強調,由於內部 IT 環境、產品營運環境是相互隔離的,而且公司網路部署了縱深防禦 (depth in-depth) 防護,因此駭客並未存取產品軟體或客戶資料。
雖然該公司強調安全無虞,但此類事件會隨著調查進行而不斷更新,在國家駭客事件更是如此。因此 TeamViewer 提醒所有用戶開啟多因素驗證 (multi-factor authentication, MFA),設定白名單僅允許有授權者連線,並且監控網路連線和 TeamViewer 紀錄。
誰是 Midnight Blizzard?
Midnight Blizzard 是和俄羅斯外國情報機構 (SVR) 密切相關的進階國家駭客,它曾涉入多起知名網路間諜事件,駭入外國政府或企業網路竊取資料或監控通訊。
最知名的是 2020 年駭入 SolarWinds 供應鏈攻擊,藉由在其 Windows DLL 檔案植入後門,再透過軟體更新發送給其政府和企業用戶,以便竊取情資。去年 Midnight Blizzard 又將目標轉向微軟,利用密碼潑灑手法取得密碼,存取 Exchange Online 測試帳號,以此為跳板取得高層、網路安全及法務部門郵件,尋找微軟研究他們的資料。微軟說,今年這駭客組織再度駭入,利用之前攻擊獲得的憑證,進而存取內部系統,包括微軟產品程式碼。