3side кибербезопасности

Взлом TeamViewer - атака на цепочку поставок удалась?

Компания Teamviewer вышла из России в 2022 году.
А 26 июня 2024 года компания сообщила, что подверглась атаке и зафиксировала взлом своей офисной сети.
Тогда она заявила, что сеть клиентов и их данные затронуты взломом не были. Сослались на значительно разделение продуктовой части и офисной. Однако, возможно это было не совсем так.

По словам одного из пользователей, который прислал мне это фото (да, фото монитора!) он пользовался TV до самого выхода компании из России. С тех пор подключиться куда-либо из России было нельзя, но вот в обратную сторону судя по всему можно. ПО оставалось у него в автозапуске и исправно запускалось, о чем он благополучно забыл.

Некоторое время назад пользователь обнаружил у себя на ПК программу-майнер, и пытаясь понять, как майнер мог оказаться в системе, обнаружил логи TV. С тремя нелегальными сессиями! Первый вход произошел аккурат во время взлома сети компании! Совпадение? Все предыдущие сессии были легальные и осуществлялись в 2022 году. Ровно до даты взлома. На скриншоте указаны эти 3 сессии, и замазаны идентификаторы прошлых легальных сессий, кроме даты.

Я попытался поискать в сети аналогичные случаи, но поисковую выдачу значительно замусоривает взлом самой компании, и подобные случае мной обнаружены не были. Если вы использовали TV в конце июня этого года, рекомендую проверить логи подключения. Если вы обнаружите подобные сессии, напишите пожалуйста нам в личные сообщения!

Пока это единичный случай, однозначно утверждать, что это не совпадение и не ошибка пользователя - нельзя.

www.tgoop.com/By3side/461

3.9K viewsOct 12 at 07:01

Взлом TeamViewer - атака на цепочку поставок удалась?

Компания Teamviewer вышла из России в 2022 году.
А 26 июня 2024 года компания сообщила, что подверглась атаке и зафиксировала взлом своей офисной сети.
Тогда она заявила, что сеть клиентов и их данные затронуты взломом не были. Сослались на значительно разделение продуктовой части и офисной. Однако, возможно это было не совсем так.

По словам одного из пользователей, который прислал мне это фото (да, фото монитора!) он пользовался TV до самого выхода компании из России. С тех пор подключиться куда-либо из России было нельзя, но вот в обратную сторону судя по всему можно. ПО оставалось у него в автозапуске и исправно запускалось, о чем он благополучно забыл.

Некоторое время назад пользователь обнаружил у себя на ПК программу-майнер, и пытаясь понять, как майнер мог оказаться в системе, обнаружил логи TV. С тремя нелегальными сессиями! Первый вход произошел аккурат во время взлома сети компании! Совпадение? Все предыдущие сессии были легальные и осуществлялись в 2022 году. Ровно до даты взлома. На скриншоте указаны эти 3 сессии, и замазаны идентификаторы прошлых легальных сессий, кроме даты.

Я попытался поискать в сети аналогичные случаи, но поисковую выдачу значительно замусоривает взлом самой компании, и подобные случае мной обнаружены не были. Если вы использовали TV в конце июня этого года, рекомендую проверить логи подключения. Если вы обнаружите подобные сессии, напишите пожалуйста нам в личные сообщения!

Пока это единичный случай, однозначно утверждать, что это не совпадение и не ошибка пользователя - нельзя.

BY 3side кибербезопасности