TeamViewer疑似被入侵事件分析

iso60001  1867天前

近期,在网络上曝出“TeamViewer公司被入侵,任何TeamViewer用户都有被入侵的风险”的新闻。白帽汇安全研究院在得知后迅速对整起事件进行跟踪分析,经过分析确认此次事件并不存在TeamViewer公司被攻击的实质证据,本质只是一些“旧新闻“重提,并不会对当今的TeamViewer用户造成较大影响。现将整个事件分析流程叙述如下:

在10月10日前后,推特上的用户Christopher Glyer(FireEye的安全工程师)发布了一则有关FireEye安全会议上演讲PPT的截图,如下:

22.png


该推特用户表示,远控软件TeamViewer的厂商被入侵,所有TeamViewer用户都可能被入侵。但此页PPT只是提到了TeamViewer扮演了“入侵点”这个角色(有可能是连接密码被爆破),并没有指明TeamViewer公司被入侵。截止到2019年10月12日中午,该用户未对此TeamViewer事件发表更多评论,而FireEye的推特也没有提及此张PPT的内容,TeamViewer的官方推特和网站也丝毫没有提及公司“被入侵”的话题。

随后可在FireEye的网站中找到有关APT41的报告,文件链接:https://content.fireeye.com/apt-41/rpt-apt41。其中有关TeamViewer的内容截图如下:

33.png

其中“Although we do not have first-hand evidence of APT41's compromise of TeamViewer”明确表示“我们并没有APT41攻陷TeamViewer的第一手证据”。而且表示他们只是发现在2017年的一次入侵活动中,APT41利用TeamViewer传输文件。最后还讲了一下2016年TeamViewer曾出过安全问题,但已经修复。通过搜索,可以知道2016年TeamViewer确实出现过安全事件(2019年才曝出),相关链接:https://www.spiegel.de/plus/teamviewer-wie-hacker-das-deutsche-vorzeige-start-up-ausspionierten-a-00000000-0002-0001-0000-000163955857

44.png


其中文章表示2016年TeamViewer曾被外部攻击,但其发言人表示无任何敏感数据泄露,公司也已改进安全措施。此外,在2016年TeamViewer还被报道发生了数据泄露事件。


55.png

所以报告中的“2016”并不能明确和现在的TeamViewer产生什么联系,更不能说明和现在用户安全有什么关联。而报告后面又提及了一起APT41利用TeamViewer事件。

66.png

其中In May 2018,APT41 used TeamViewer for initial entry in the compromise of a healthcare company表示在2018年APT41曾利用TeamViewer攻击了一家健康公司,关于这点目前网络上并没有什么有价值的信息。

以上就是FireEye报告中和TeamViewer有关的全部内容,可以看出FireEye只是表示TeamViewer 多次在攻击中被APT41利用,并无TeamViewer公司被攻破的意思。这种利用实际上可以包含多种情况,例如密码被爆破、误用了TeamViewer恶意改造版、从内存读取了TeamViewer密码等,整个报告中提及的事件也和现在无太大关联。

 

参考链接:

1.   https://twitter.com/ssooking/status/1182581959609864194

2.   https://twitter.com/cglyer/status/1182413194360508419

3.   https://content.fireeye.com/apt-41/rpt-apt41


本文由白帽汇原创,转载请注明来源:https://nosec.org/home/detail/3038.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务

最新评论

昵称
邮箱
提交评论