Taggat med: APT29

Intrång hos TeamViewer

TeamViewer hackade

Uppdatering: Nu har TeamViewer bekräftat att det rör sig om ryska APT29.

TeamViewer gick nyligen ut med information om att deras system blivit hackade. De anger i sitt meddelande att det enbart handlar om den interna IT-miljön och ej produktionssystem. Dock så finns det andra källor som pekar på att ryska APT29 står bakom intrånget och aktivt kan ta sig in i miljöer där TeamViewer är installerat. APT29 går också under namnet Cozy Bear, NOBELIUM eller Midnight Blizzard.

TeamViewer är en mjukvara för fjärrstyrning, fjärråtkomst och fjärrsupport. Den används för att ansluta till och styra datorer och andra enheter över internet, vilket möjliggör teknisk support, samarbete och filöverföring mellan användare oavsett var de befinner sig. TeamViewer används av både privatpersoner och företag för att underlätta fjärrarbete och teknisk support.

Följande meddelande gick ut från NCC Group och har delats på Mastodon:

Det är i ett tidigt skede och mycket som är oklart i dagsläget. Men jag rekommenderar att om du använder TeamViewer:

  • Stäng ner TeamViewer-servicen/mjukvaran omgående
  • Revidera eventuella loggfiler, se här
  • Undersök om TeamViewer finns installerat inom er organisation
  • Kontrollera nätverkstrafik på TCP/UDP-port 5938. Obs, mjukvaran kan använda andra portar
  • Undersök nätverkstrafik och DNS-uppslag till *.teamviewer.com
  • Vid eventuella indikationer på intrång, anlita specialister på IT-forensiska utredningar

Jag försöker att löpande uppdatera detta blogginlägg med ny information allt eftersom händelsen utvecklas.

Ryssland påverkade det amerikanska valet med hjälp av hackers

Amerikanska myndigheten DHS tillsammans med FBI släppte för några timmar sedan en teknisk rapport med titeln GRIZZLY STEPPE – Russian Malicious Cyber Activity.

Rapporten beskriver två hackinggrupper vid namn APT28 och APT29 samt deras tillvägagångssätt att angripa amerikanska intressen. Framförallt sådant som är relaterade till valet (APT = advanced persistent threat).

Med hjälp av fiktiv e-post (spearphising) så hackade APT28 ett amerikanskt parti och sedan exfiltrerade och släppte ut dokument publikt samt till press. Även den andra hackinggruppen APT29 har använt spearphising-attacker och skickat ut mail till över 1000 mottagare mot amerikanska intressen.

Min personliga bedömning är dock att konkreta bevis på att det är RIS (Russian Intelligence Service) som ligger bakom saknas. Detta framgår ej rapporterna, men förstår även att det är svårt att avhemliga information från exempelvis NSA.

Följande bild beskriver hur dessa två grupper jobbar med bl.a. X-Agent och X-Tunnel mjukvaran. Vi skrev senast om X-agent för några dagar sedan då den användes i en attack mot Ukraina.

Även så publicerar US Treasury en lista med personer som USA utför sanktioner mot. Den innehåller en del GRU-personer men även hackers.

Förutom ovan så finns det även flertalet IOC:er (indicators of compromise) där bl.a. tre svenska IP-nummer ska ha används för kontrollkanal eller på annat sätt vara inblandad i attackerna.

Troligtvis är detta hackade klienter eller servrar. Vissa även är eller har varit Tor-exitnoder:

95.215.44.115,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
153.92.126.148,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.111,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.227,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.223,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.97,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.7.34.251,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
85.24.197.4,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.

Registrerade enligt whois på Exalt, Netbrella Networks samt:

Yourserver.se is a trademark
of Makonix Ltd, registered at
Ulbrokas 23, Riga, Latvia, LV-1021,
EU VAT number LV40103214759

Hela listan med IOC:er hittar du på denna sida. Har tittat i mina egna system efter dessa IP-adresser och hittar tusentals med intrångsförsök samt legitim trafik.

Här kan du ladda hem rapporten från FBI och DHS National Cybersecurity and Communications Integration Center (NCCIC):