TeamViewer ha confermato ieri di essere stata vittima di un attacco informatico scoperto nell'autunno 2016, ma mai divulgato. Gli attaccanti hanno usato la backdoor Winnti.
L'azienda dietro uno dei software di gestione da remoto più usato al mondo ha fatto sapere al settimanale Der Spiegel che l'attacco è stato scoperto prima che gli attaccanti fossero in grado di compiere danni e che tutte le indagini svolte per trovare tracce dell'uso di dati rubati durante l'incidente di sicurezza hanno dato esito negativo.
Ugualmente, dicono da TeamViewer, non sono state trovate tracce di compromissione o furto del codice sorgente, anche se gli attaccanti vi hanno avuto accesso. Sono state trovate delle backdoor, sicuramente impiantate durante l'attacco ma poi rimosse sia dopo l'incidente sia in conseguenza della revisione completa del data center e di tutti i sistemi avvenuta alla fine del 2016. La decisione di TeamViewer di non rendere pubblica la violazione consegue, affermano, nasce proprio dal non aver trovato prove di furto dati durante le indagini.
Sospensione del servizio nel 2016
Il primo Giugno 2016, però, TeamViewer rilasciava un comunicato stampa che riconosceva un'interruzione del servizio causata da un attacco DoS, mirato contro l'infrastruttura del server DNS di TeamViewer. La dichiarazione fu seguita da numerose segnalazioni di utenti che affermavano di aver perso il controllo del proprio pc usando TeamViewer e che avevano scoperto pagamenti illeciti per acquisti online tramite account Paypal e sottrazioni di denaro tramite account di home banking. Alcune vittime affermavano che gli aggressori avevano compromesso i loro account di TeamViewer, usati poi per il controllo totale sul pc, nonostante password univoche molto lunghe e l' attivazione dell'autenticazione a due fattori: tutti indizi che in realtà i sistemi di TeamViewer fossero stati violati.
Nonostante queste segnalazioni, TeamViewer ai tempi ribadì che gli hacking degli account non dipendevano da TeamViewer, ma dalla "negligenza"degli utenti che avevano usato password brevi, non uniche e non avevano attivato l'autenticazione a due fattori. Qualche giorno fa l'azienda tedesca ha anche ribadito che non c'è correlazione tra queste violazioni di account avvenuto nel 2016 e la violazione appena divulgata.
Il malware Winnti
Il malware Winnti non è nuovo ad essere usato in hacking contro obiettivi importanti: nel 2016 fu usato contro il gruppo ThysseKrupp, nel 2018 contro la Bayer e in entrambi i casi le aziende ribadirono pubblicamente che gli attaccanti non avevano sottratto dati di clienti, ma avevano mirato ai segreti tecnici e commerciali delle aziende. Nel caso della Byer i tecnici di sicurezza erano riusciti a tenere d'occhio l'attività del gruppo dall'infiltrazione iniziale (dal 2018 al Marzo 2019): anche in questo caso è arrivata la conferma che gli attaccanti non erano stati in grado di rubare alcun dato.
C'è stato o meno, quindi, un furto di dati?
TeamViewer nega categoricamente, ma il gruppo di attaccanti che sfrutta questo malware ha obiettivi chiari: nonostante abbia variato spesso nome nel tempo (Winnti Group, PassCV, APT17, Axiom, LEAD, BARIUM, Wicked Panda ecc...) lo scopo di questo gruppo resta sempre il furto di codice (di videogochi e software vari) e, sopratutto, di certificati digitali emessi da legittimi vendor di software. I certificati digitali legittimi sono materiale ghiotto per i cyber criminali, garantendo loro la possibilità di firmare con certificati validi software fake o dannosi.
Nessun commento:
Posta un commento