Alerta H-ISAC avisa sobre o comprometimento do TeamViewer

O Centro de Análise e Compartilhamento de Informações de Saúde (H-ISAC) emitiu um boletim de ameaças em 27 de junho, alertando o setor de saúde e saúde pública sobre ameaças cibernéticas ativas que exploram o software de conectividade remota TeamViewer. A TeamViewer havia alertado que um grupo de hackers APT havia violado seu ambiente corporativo em um ataque cibernético ontem.

A TeamViewer disse em um comunicado que a invasão estava ligada a credenciais comprometidas de uma "conta de funcionário padrão" e que seu ambiente de TI corporativo havia sido comprometido. A empresa acrescentou que a rede corporativa é independente de seu ambiente de produção.

O agente da ameaça rastreado como APT29 é um grupo de hackers russo que opera desde pelo menos 2008. Esse grupo de hackers está associado às agências de inteligência da Rússia, o Serviço Federal de Segurança (FSB) e o Serviço de Inteligência Estrangeira (SVR). 

O TeamViewer é predominante em organizações industriais e de saúde como uma ferramenta de acesso remoto usada para atualizações e manutenção. Ferramentas como essas são alvos tentadores para agentes avançados, que as utilizam para acessar remotamente sistemas comprometidos. Considerando que o APT29 pode ter acesso à rede do TeamViewer, as organizações devem ter cuidado com esse tipo de ataque à cadeia de suprimentos. Eles têm sido a tática preferida de agentes de ameaças persistentes avançadas, como a APT 29. Por exemplo, incidentes como o ataque da SolarWinds e o NotPetya demonstraram como os invasores podem enviar explorações e códigos mal-intencionados em escala por meio do mecanismo de atualização de software para interromper ou manipular os sistemas das vítimas.  

Em seu boletim de ameaças, o H-ISAC abordou indicadores de comprometimento e delineou algumas recomendações para os usuários, incluindo:

1. O H-ISAC recomenda que os usuários analisem os logs em busca de qualquer tráfego incomum na área de trabalho remota.

2. O H-ISAC indicou que os agentes de ameaças foram observados utilizando ferramentas de acesso remoto.

3. A agência também recomenda que os usuários ativem a autenticação de dois fatores e usem a lista de permissões e a lista de bloqueios para controlar quem pode se conectar aos seus dispositivos, entre outras medidas.

Nesse incidente, a atividade não autorizada envolveu o uso das credenciais de uma conta padrão de funcionário para acessar o ambiente corporativo. Devido ao aumento de agentes cibernéticos prolíficos, esse incidente enfatiza ainda mais os perigos crescentes da utilização de ferramentas de acesso remoto não projetadas especificamente com os requisitos de segurança de CPS em mente. 

Para os clientes que utilizam o Claroty xDome for Healthcare (anteriormente Medigate), siga o passo a passo em anexo para filtrar todos os dispositivos que se comunicam pelo protocolo Teamviewer: