Hacking tramite TeamViewer: colpite anche autorità italiane | Risposta ufficiale

02 Maggio 2019 82

Aggiornamento 02/05:

TeamViewer fa pervenire in redazione la seguente dichiarazione che si riporta integralmente:

Per TeamViewer la sicurezza informatica è sempre al primo posto e condanna fermamente qualsiasi attività dolosa e malevole. Nel caso specifico di questo attacco, si è trattato di un’azione molto mirata che è stata attuata tramite una e-mail di spam contenente un file Microsoft Excel compromesso con un contenuto malevole. Una volta che il file Excel è stato aperto, il sistema è stato infettato e una versione di TeamViewer non aggiornata e molto datata è stata attivata dal sideloading dei DLL malevoli.
Come da protocollo standard per la sicurezza informatica, tutti gli utenti devono prestare la massima attenzione a tutte le e-mail indesiderate e gli allegati sospetti per prevenire questo tipo di attacchi. Inoltre, consigliamo vivamente tutti gli utenti di mantenere aggiornato il proprio sistema operativo Windows e di avere sempre le ultime version di anti-virus installate per la migliore protezione possibile. Per quanto riguarda l'utilizzo di TeamViewer, consigliamo sempre di scaricare TeamViewer solo dalla nostra fonte ufficiale che è il nostro sito web www.teamviewer.com. Inoltre, è fondamentale utilizzare sempre l'ultima versione del nostro software che includono gli ultimi aggiornamenti in sicurezza.

Articolo originale 30/04

Gli attacchi da parte di hacker, intenzionati ad estorcere informazioni importanti ai danni dei rappresentati delle più importanti autorità finanziarie e governative, ora passano anche da TeamViewer, stando ad un nuovo rapporto stilato dai ricercatori di Check Point Software Technologies, autori di una precedente analisi sullo stato della diffusione dei malware in Italia.

Al centro dell'attenzione dei malintenzionati ci sono stati diversi soggetti di spicco come quelli già citati, oltre al personale di diverse ambasciate sparse per l'Europa, e in particolare si segnala la presenza di diverse autorità italiane tra le vittime. Ma come è stato possibile che questi attacchi superassero il controllo da parte del personale e dei software di protezione? I ricercatori di Check Point hanno ricostruito la catena di contagio, in modo da poter dare risposta anche a questa domanda.

Tutto comincia con l'invio di un documento XLSM che contiene al suo interno delle macro pericolose, il cui scopo è quello di installare sul computer della vittima una versione modificata di TeamViewer. Il documento in questione viene accompagnato da una mail che contiene la frase Military Financing Program nel campo "Oggetto", riporta il logo ufficiale del Dipartimento di Stato americano e viene contrassegnato come Top Secret, il tutto al fine di aumentare la credibilità del messaggio.

Una volta abilitate le macro, queste danno il via al processo di sideloading di una versione malevola di TeamViewer, la quale include funzioni aggiuntive che permettono di nascondere l'interfaccia del programma - in modo che l'utente sia ignaro della sua attivazione -, il salvataggio delle credenziali della sessione in un documento di testo in chiaro e la possibilità di trasferire ed eseguire file EXE e DLL.

Insomma, questo permette all'attaccante di prendere pieno controllo del computer della vittima, monitorare ogni sua azione e, all'occorrenza, installare ulteriore software malevolo. Tra le autorità dei Paesi colpiti, oltre all'Italia, risultano anche quelle di Nepal, Guyana, Kenya, Liberia, Bermuda e Libano. Come si può notare, è difficile tracciare un filo conduttore che possa legare tra loro le regioni colpite, tuttavia sembra che in ognuno degli attacchi siano stati presi di mira funzionari governativi legati all'ambito fiscale.


Resta ancora da chiarire chi possa essere il mandante di un attacco su così vasta scala, tuttavia le ricerche svolte da Check Point hanno permesso di risalire ad un preciso utente del forum russo CyberForum, identificato dal nickname EvaPiks. Probabilmente si tratta del creatore degli strumenti utilizzati, dal momento che sono emerse diverse prove riguardo il suo coinvolgimento nel loro sviluppo. Inoltre, EvaPiks è stato anche identificato in un altro portale russo illegale.


Non è chiaro se il personaggio in questione abbia agito spinto da motivi personali - probabilmente al fine di organizzare un'estorsione su larga scala - o se sia stato semplicemente assoldato da un altro individuo o organizzazione mossa da scopi ben più seri.


82

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
capitanharlock

Potrebbe essere.

capitanharlock

In ambiente AD molti utenti hanno credenziali amministrative, altrimenti non potrebbero lavorare.

capitanharlock

Potresti anche avere ragione.
Io ormai non leggo spesso nè accadiblog nè il blog dell'ex architetto.
Diday per ora lo reputo il migliore.

Castoremmi

Anche questo è vero

Mistizio

Spé, c'è un esempio ed è dato dall'hardware di Tommaso. Che peccato

Riccardo

purtroppo non tutti hanno windows 10 e quello ti blocca

Dea1993

tolti gli articoli di smartphone, non si salva tanta roba, e ora che non c'e' piu' nemmeno riccardo, anche le recensioni dei notebook hanno perso tantissimo valore

Dea1993

l'articolo lo avete aggiornato, ma il titolo no, e il titolo messo cosi' non rappresenta proprio bene cio' che e' successo, anzi diffama un po team viewer (e ci credo che vi hanno scritto)

Dea1993

secondo me e' l'opposto, li portera' ad avere sempre piu' utenti, ma probabilmente perderanno quelli piu' informati e appassionati

Castoremmi

Io proprio perché lo uso saltuariamente ho iniziato ad usare l'assistenza remota di Windows essendo preinstallata, per un uso personale non è malvagia.
Le persone che aiuto in remoto solitamente non sanno neanche scaricare un programma per questo il fatto che sia preinstallato mi fa risparmiare un po' di tempo ahahah

Sickboy

Dipende dalla tipologia di azienda.. TeamViewer"offre" la sua infrastruttura quindi la tua connessione transita sui loro server .. ma mi fiderei più di una VPN aziendale e poi un software di assistenza remota
Per tutto il resto c'è TeamViewer;)

Freerider

La colpa non è ne di teamviewer ne nelle macro di excel ma degli utenti che non sanno quello che fanno davanti ad un pc. Posso capire l'ansia nel vedere arrivare una email dal dipartimento di stato USA però, sarà stata una email finita nello spam, con mittente fasullo, dove aperto un excel top secret (è risaputo che questi documenti girano via email) ti chiede di attivare le macro e dopo tutto questo attivano comunque le macro? Almeno le basi a certi livello servirebbero.

Andrej Peribar

È un modo di dire che si usa per indicare il sovraccarico di informazioni di cui sono vittime i massmedia attuali (web in particolare).

In pratica indica il fenomeno che si manifesta quando una notizia non venendo "battuta" in maniera veloce e repentina viene subito rimpiazzata da una nuova notizia (overflow di informazioni) e perde di attualità e di coseguenza dell'interesse del pubblico.

Questa tendenza porta a precludere l'approfondimento delle stesse.

KenZen

Necessità principale assistenza fuori sede (iOS/macOS/Windows) contemporanea su più terminali c/chat.
Non c'è nulla di paragonabile a TV.
Saluti

Sickboy

Bè ci sono software standard che usano protocolli standard (vedi VNC)
Se poi hai bisogno di chat, rubrica pc e raggiungibilità fuori sede allora teamviewer è tra i migliori ( ma se sei una media/grossa azienda io personalmente non mi affiderei a lui)

Sickboy

Se parliamo di una rete aziendale In windows è nativo il controllo remoto potendo decidere se effettuare tramite invito via mail, invito con file di incident o modalità advanced tramite GPO

nutci

Overflow del web attuale?

Sickboy

In ambiente aziendale (aka macchina joinata in dominio) TV ti da 5 minuti (o qualcosa in più) poi si chiude in automatico in quanto riconosce l'uso aziendale.

Latuconsina

Guarda - " Shazam " - pieno di sottotitoli !!
tutto completo qui: BOXSERIES11.BLOGSPOT.COM

Aster

sempre bloccato e sempre via vpn da noi anche con sim

Aster

Il mitico dll...:)

rsMkII

Esatto. Certo, il problema è che la speranza è una brutta bestia e spesso spinge a "rischiare". Se poi la mescoli con la curiosità e il brivido del rischio, diventa una miscela esplosiva per molti utenti online. Siamo alla costante ricerca di qualcosa, e questi meccanismi agiscono alle volte sul subconscio, spingendo anche persone altrimenti razionali a cliccare come degli id*oti. XD
Che poi in tutto questo, assunto che nessuno ti regala nulla, è possibilissimo trovare ventenni vogliose. Vogliose di soldi, ma credo che si caschi immediatamente nell'illegalità! XD

miksly

eh... se per alcuni intendi meno del 20%, non sono daccordo... io direi che ALCUNI utenti sono furbi e non ci cascano...

miksly

non sapete quante volte delle persone di mia conoscenza mi chiedono se è vero il link dove puoi comprare un iphone a 2 euro... basta una e una sola regola di vita che puo' evitare di cadere in questi trabocchetti "NESSUNO TI REGALA NIENTE"... a partire dagli iphone a 2 euro fino ad arrivare alle ventenni vogliose...

deepdark

Sarà una utenza "free" senza rete di appartenenza, magari che si connette via sim e cose di questo tipo.

Alessio Ferri

Se alcuni utenti sono scemi non vuol dire che tutti gli utenti lo siano.

sopaug

non perderci tempo, questo è uno di quelli che si sente un accher perchè una volta ha aperto regedit :)

Alessandro

Molto male

Simone Tobaldo

In ambiente aziendale sotto Active Directory o hai le autorizzazioni da administrator o, spesso e volentieri, non puoi nemmeno terminare alcuni processi da task bar. Fai te lanciare un eseguibile nascosto in una macro

rsMkII

Hai dimenticato il "veramente"!

Simone Tobaldo

Stiamo parlando di ambiente lavorativo statale italiano: non credo siano gestiti via Active Directory e SCCM tutti i terminali. Non solo, con le giuste autorizzazioni, un funzionario potrebbe tranquillamente avere la possibilitá di bypassare il blocco e installare quasi tutto.

sopaug

ripeto, a fare il furbetto duri comunque poco, anche se non sei nel lecito. Nessun utilizzo professionale può essere fatto con i filtri temporali che hanno, se ti colleghi una volta ogni tanto nessuno ti dice niente anche se è un pc aziendale, è fatto apposta.

Sulla sparata relativa a anydesk stendiamo un velo pietoso che è meglio, è evidente che tu non sappia di cosa parli. Ci sono centinaia di sw di controllo remoto, ma se devi fare assistenza su device eterogenei teamviewer è l'unica scelta possibile.

KenZen

Non parlo di quel tipo di sicurezza. Per determinati dati utilizzo server connessi alla sola rete locale.
Ps: i gessetti sono sempre pronti cmq...
Saluti

Marco
Andrej Peribar

Non credere.
La qualità paga meno.
a) Perché l'utenza che la cerca è minore
b) l'utenza che la cerca è skillata
c) un lavoro di qualità necessita di non riuscire a contrastare l'overflow del web attuale.

Questo messaggio potrebbe essere considerato come un consiglio per la redazione ma soprattutto per l'utenza di questo blog fantoys o una sicura offesa.

franky29
capitanharlock

Titolo da solito clickbait di accadiblog.
State prendendo una deriva che vi porterà ad avere sempre meno lettori.

capitanharlock

Hai letto l'articolo?
Direi di no.
Non è rivolto agli utenti di teamviewer.

Alessandro

Tecnicamente in ambiente Active Directory per installare software servono credenziali amministrative. A meno che non venga avviato "run only", non capisco come sia possibile l'installazione, tra l'altro essendo un .exe

LaVeraVerità

"non devo nemmeno installarlo"

Nemmeno teamviewer se è per questo.

LaVeraVerità

"danno il via al processo di sideloading di una versione malevola (modificata ndr) di TeamViewer, la quale include funzioni aggiuntive"

Ehm...

LaVeraVerità

Non vorrei rovinare la tua serenità ma, oltre a passare per i server di una società esterna (americana) come teamviewer, i tuoi dati fanno il giro di millemila apparati di rete di n provider, ognuno dei quali debitamente infarcito di backdoor delle agenzie governative più svariate.

ferrari1990

tanto team non lo sto manco piu' usando... ho optato per una soluzione piu' semplice: iperius remote, non devo nemmeno installarlo XD

GTX88

Se lo usi per collegarti a un pc aziendale non sei nel lecito, comunque le aziende serie usano anydesk

Aster

A ok;)

franky29
Aster

Purtroppo per legge(sopratutto per la privacy e la trasparenza da noi tutto deve essere digitale.Poi ci costa molto smaltire il macero cartaceo con dati sensibili :)

Aster

No ma anche 4 pc con un misero dual core o i3 da noi vanno bene per un ufficio di 2 persone;)

Carlo

Cit. "tu pensa che io ricevo email da un procione"

franky29

Meglio scrivere a mano!

Android

Sony Xperia 1 IV ufficiale: lo zoom ottico si evolve e diventa progressivo

Asus

Notebook ROG Flow X13: flessibile, compatto, hw top e prezzo super in offerta

Android

Recensione Redmi Note 11 Pro Plus 5G: la ricarica non è un problema e altre sorprese

Android

La politica dei prezzi barrati non ci fa bene | Video