辟谣:关于 TeamViewer 客户端被黑客攻击的通报,但真相是?
jlangqi 2019-10-13
我相信今天大家肯定被这条新闻刷屏了。
深圳网警在微博发布《关于TeamViewer客户端被远程控制的紧急通报》,称近期有境外黑客组织APT41对TeamViewer实施了网络攻击,并成功拿下TeamViewer公司的后台管理系统,使得黑客组织可以访问并控制任何安装了TeamViewer的客户端。
深圳网警给出了防护建议与措施:
- 近期停止使用TeamViewer远程管理软件;
- 在防火墙中禁止用于TeamViewer远程通讯的5938端口;
- 通过Web应用防火墙或其它设备禁止单位内主机回连teamviewer.com域名。
应急处置建议如下:
迅速核查事件影响,并跟据上文中提到防范措施在防火墙中设置过滤,以阻断TeamViewer远程控制单位内主机提醒职工,在近期不要使用TeamViewer远程工具进行远程。发现网络攻击及时预防和处置,一旦发生安全事件,第一时间上报我中心。
这条新闻确实是来自于深圳网警在今天发布的。
但是真相是:
火绒安全实验室的工程师根据网传的照片找到 FireEye 的报告(如下图),发现照片的转发语和 FireEye 实际的 PPT 表达内容不相符:
- 从 FireEye 的报告来看,他们并没有掌握直接证据表明 APT41 入侵 TeamViewer 公司。网传照片中是仅显示 FireEye 发现在 2017-2018 年期间,有 APT41 利用 TeamViewer 的登录凭证登陆被攻击主机的行为。
- 根据 FireEye 的 PPT 中显示,TeamViewer 公司在 2016 年被黑客入侵过(由其它媒体报道过)。而当时 TeamViewer 也回应过入侵事件,并表示未发现泄露数据的证据。
而火绒安全实验室总结:
从现有信息来看无论是时间还是逻辑上,FireEye 发现的 2017-2018 “利用 TeamViewer 的登录凭证” 与 TeamViewer2016 年被攻击的事件没有必然的联系,也无从证明 TeamViewer 近期被攻击并访问用户系统。因此,TeamViewer 用户也无须过分担心。
对此事件,不仅仅火绒安全实验室发了消息,奇安信对此也发布了辟谣的消息。
2019 年 10 月 11 日,火眼举办的 FireEyeSummit 大会上,几张演讲的 PPT 拍照被公开到网上,其中一张提及到一款非常流行的远程控制软件 TeamViewer 曾经疑似被黑客组织入侵,并称其可以访问安装了 TeamViewer 的任何系统。
奇安信威胁情报中心红雨滴团队对 TeamViewer 相关的安全事件做了收集分析,FireEye 所说的事件应该发生在数年前,新版本 TeamViewer 仍被受控的可能性较小。
所以,大家不必恐慌,有安全意识是对的,但是没必要过于恐慌,如果真是如此,TeamViewer 应该早就发布通知了。
