건강 정보 공유 및 분석 센터(H-ISAC)는 다음과 같이 발표했습니다. 위협 게시판 를 발행하여 의료 및 공중 보건 부문에 TeamViewer 원격 연결 소프트웨어를 악용하는 사이버 위협이 활발히 발생하고 있다고 경고했습니다. TeamViewer는 어제 APT 해킹 그룹이 사이버 공격을 통해 기업 환경을 침해했다고 경고한 바 있습니다.
TeamViewer는 성명서를 통해 침입이 "표준 직원 계정"의 인증 정보가 유출된 것과 관련이 있으며 기업 IT 환경이 손상되었다고 밝혔습니다. 또한 회사 네트워크는 프로덕션 환경과는 별개라고 덧붙였습니다.
APT29로 추적된 위협 행위자는 최소 2008년부터 활동한 러시아 해킹 그룹입니다. 이 해킹 그룹은 러시아 정보 기관인 연방보안국(FSB) 및 해외정보국(SVR)과 관련이 있습니다.
의료 및 산업 조직에서는 업데이트 및 유지 관리에 사용되는 원격 액세스 도구로 TeamViewer가 널리 사용되고 있습니다. 이와 같은 도구는 손상된 시스템에 원격으로 액세스하는 데 사용하는 지능형 공격자들에게 매력적인 표적입니다. APT29가 팀뷰어의 네트워크에 액세스할 수 있다는 점을 고려할 때 조직은 이러한 공급망 공격에 주의해야 합니다. 공급망 공격은 APT29와 같은 지능형 지속 위협 공격자들이 선호하는 전술입니다. 예를 들어 솔라윈즈 공격이나 낫페트야와 같은 사건은 공격자가 소프트웨어 업데이트 메커니즘을 통해 익스플로잇과 악성 코드를 대규모로 푸시하여 피해자의 시스템을 교란하거나 조작할 수 있다는 것을 보여주었습니다.
H-ISAC는 위협 공지를 통해 침해 징후를 다루고 사용자를 위한 몇 가지 권장 사항을 설명했습니다:
H-ISAC은 사용자가 비정상적인 원격 데스크톱 트래픽이 있는지 로그를 검토할 것을 권장합니다.
H-ISAC는 위협 행위자들이 원격 액세스 도구를 활용하는 것이 관찰되었다고 밝혔습니다.
또한 2단계 인증을 활성화하고 허용 목록 및 차단 목록을 사용하여 기기에 연결할 수 있는 사용자를 제어하는 등 다양한 조치를 취할 것을 권장합니다.
이 사고에서 무단 활동은 표준 직원 계정의 자격 증명을 사용하여 기업 환경에 액세스하는 것과 관련이 있습니다. 사이버 공격자가 급증하는 가운데 이 사건은 CPS 보안 요건을 염두에 두고 특별히 설계되지 않은 원격 액세스 도구를 활용하는 것의 위험성을 더욱 강조합니다.
Claroty xDome for Healthcare(구 Medigate)를 사용하는 고객의 경우, 첨부된 안내에 따라 Teamviewer 프로토콜을 통해 통신하는 모든 기기를 필터링하세요:
.gif)
