TeamViewer 遭俄罗斯政府黑客 Midnight Blizzard 入侵

本周，TeamViewer 的公司网络遭到攻击，这家远程访问软件供应商将此归咎为俄罗斯政府支持的威胁行为者 Midnight Blizzard 所为。

TeamViewer 周四发表声明称，其安全团队于 6 月 26 日星期三检测到“TeamViewer 内部企业 IT 环境存在异常”，但其产品环境和客户数据并未受到影响。该公司当时写道，它立即展开了调查，为了保持透明度，将在获得更多详细信息后分享这些信息。

远程访问软件经常被威胁行为者滥用，在受害者环境中进行横向移动。2021 年，一名威胁行为者滥用 TeamViewer 访问了佛罗里达州奥兹马尔一家水处理厂的 SCADA 系统。

TeamViewer 周五提供了更多详细信息，作为对 初步声明该公司表示，其安全团队“全天候”与合作伙伴合作调查此次攻击，并与威胁情报提供商以及相关部门保持密切联系。

TeamViewer 将此次攻击归咎于 Midnight Blizzard，这是一个由俄罗斯政府支持的攻击者，又名 APT29 和 Cozy Bear。Midnight Blizzard 是今年早些时候披露的微软入侵事件以及 2020 年针对 SolarWinds 的毁灭性供应链攻击的幕后黑手。此外，TeamViewer 表示，此次攻击“与其公司网络环境中的标准员工帐户凭据有关”。

“基于持续的安全监控，我们的团队发现了该帐户的可疑行为，并立即采取了事件响应措施。结合我们的外部事件响应支持，我们目前将此活动归咎于被称为 APT29 / Midnight Blizzard 的威胁行为者，”更新后的声明中写道。“根据目前的调查结果，攻击被控制在公司 IT 环境中，没有证据表明威胁行为者获得了对我们产品环境或客户数据的访问权限。”

TeamViewer 在更新中强调，根据目前的证据，其产品环境和客户数据未受到此次入侵的影响。更新后的声明解释说，TeamViewer 采用纵深防御方法，限制了威胁行为者访问公司环境其他部分的能力。

声明中写道：“遵循最佳实践架构，我们对企业 IT、生产环境和 TeamViewer 连接平台进行了严格隔离。这意味着我们将所有服务器、网络和帐户严格分开，以帮助防止不同环境之间的未经授权的访问和横向移动。”

TechTarget 编辑部向 TeamViewer 询问员工凭证是如何被盗的，但一位发言人拒绝发表评论，并承诺在获得更多详细信息后会公布。下一次更新预计将于欧洲中部夏令时间周五下班前公布。

Alexander Culafi 是 TechTarget 编辑部的高级信息安全新闻撰稿人和播客主持人。