TeamViewer疑似被入侵事件分析

近期，在网络上曝出“TeamViewer公司被入侵，任何TeamViewer用户都有被入侵的风险”的新闻。白帽汇安全研究院在得知后迅速对整起事件进行跟踪分析，经过分析确认此次事件并不存在TeamViewer公司被攻击的实质证据，本质只是一些“旧新闻“重提，并不会对当今的TeamViewer用户造成较大影响。现将整个事件分析流程叙述如下：

在10月10日前后，推特上的用户Christopher Glyer（FireEye的安全工程师）发布了一则有关FireEye安全会议上演讲PPT的截图，如下：

该推特用户表示，远控软件TeamViewer的厂商被入侵，所有TeamViewer用户都可能被入侵。但此页PPT只是提到了TeamViewer扮演了“入侵点”这个角色（有可能是连接密码被爆破），并没有指明TeamViewer公司被入侵。截止到2019年10月12日中午，该用户未对此TeamViewer事件发表更多评论，而FireEye的推特也没有提及此张PPT的内容，TeamViewer的官方推特和网站也丝毫没有提及公司“被入侵”的话题。

随后可在FireEye的网站中找到有关APT41的报告，文件链接：https://content.fireeye.com/apt-41/rpt-apt41。其中有关TeamViewer的内容截图如下：

其中“Although we do not have first-hand evidence of APT41's compromise of TeamViewer”明确表示“我们并没有APT41攻陷TeamViewer的第一手证据”。而且表示他们只是发现在2017年的一次入侵活动中，APT41利用TeamViewer传输文件。最后还讲了一下2016年TeamViewer曾出过安全问题，但已经修复。通过搜索，可以知道2016年TeamViewer确实出现过安全事件（2019年才曝出），相关链接：https://www.spiegel.de/plus/teamviewer-wie-hacker-das-deutsche-vorzeige-start-up-ausspionierten-a-00000000-0002-0001-0000-000163955857

其中文章表示2016年TeamViewer曾被外部攻击，但其发言人表示无任何敏感数据泄露，公司也已改进安全措施。此外，在2016年TeamViewer还被报道发生了数据泄露事件。

所以报告中的“2016”并不能明确和现在的TeamViewer产生什么联系，更不能说明和现在用户安全有什么关联。而报告后面又提及了一起APT41利用TeamViewer事件。

其中In May 2018,APT41 used TeamViewer for initial entry in the compromise of a healthcare company表示在2018年APT41曾利用TeamViewer攻击了一家健康公司，关于这点目前网络上并没有什么有价值的信息。

以上就是FireEye报告中和TeamViewer有关的全部内容，可以看出FireEye只是表示TeamViewer 多次在攻击中被APT41利用，并无TeamViewer公司被攻破的意思。这种利用实际上可以包含多种情况，例如密码被爆破、误用了TeamViewer恶意改造版、从内存读取了TeamViewer密码等，整个报告中提及的事件也和现在无太大关联。

参考链接：

1.   https://twitter.com/ssooking/status/1182581959609864194

2.   https://twitter.com/cglyer/status/1182413194360508419

3.   https://content.fireeye.com/apt-41/rpt-apt41

本文由白帽汇原创，转载请注明来源：https://nosec.org/home/detail/3038.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。
公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务