News TeamViewer: Angriff auf internes IT-System aus Russland?

[Mensch_lein]

@fdsonne
Ach soo ist das, na dann. Woher kommt denn die Aussage, es seien die Russen gewesen? Denn nur mal so unter uns Gebetschwestern, genau davon sprach ich. Dass die Medien es so aussehen lassen. Da ging meine Kritik nicht zwingend um die Firma, sondern es ging um das, was wir hier zu lesen bekommen haben.
Es ging auch darum, was in der Presse herumgeistert und genau da, klemmt eben der Schuh. Es ist auch nicht meine Aufgabe als Leser, herauszufinden, woher der Nonsens kommt. Sondern ich beziehe mich auf den Artikel, den ich gelesen habe und der Eindruck der durch den Artikel entsteht.

 

[Incanus]

Es ist auch nicht meine Aufgabe als Leser, herauszufinden, woher der Nonsens kommt.

Doch, das nennt man Medienkompetenz. Wer sich nur nach Schlagzeilen richtet, ist eben nicht richtig informiert.

 

[Mensch_lein]

Habe ich irgend etwas falsches geschrieben? Wirklich? Was denn so?

Und nun mal, nur so aus Spass an der Freud, wo genau würdest du nun herausfinden wollen, wer es denn nun letztendlich gewesen ist?

Wer die Meldung verbreitet hat, erachte ich nicht als relevant, da das Muster altbekannt ist.

 

[Zero_Official]

laut meinen informationen könnte das auch eine hackergruppe aus belgien gewesen sein.

Der war Gut!!!

die Unfähigkeit der IT Firmen eigene Produkte zu schützen aussert sich immer in "die anderen sind Schuld"
Aussagen.

Da es jetzt in Mode ist die Russen für all den Unheil zu beschuldigen sind die es halt....

 

[FuSiOnPaiNz]

Rustdesk mit eigenem Relay-Server. Günstiger und besser.

Hab ich! Läuft schön in einem Docker Container

 

[fdsonne]

Sondern ich beziehe mich auf den Artikel, den ich gelesen habe und der Eindruck der durch den Artikel entsteht.

Dann solltest du dich einfach mal an deine Deutschstunden in der Schule zurück erinnern. Das Stichwort nennt sich Konjuktiv.

Weder im Artikel hier noch in der verlinkten Quelle auf heise.de wird von Fakten gesprochen. Da stehen Wörter/Satzteile wie "soll", "heißt es", "erfahren haben will".
Hier im CB Artikel ist dort, wo man Russland nennt, ein Fragezeichen dran. Das wird also als Frage gestellt. Was also eine Spekulation ist.

Woher kommt denn die Aussage, es seien die Russen gewesen?

Ganz eindeutig, von Leuten wie dir, die einfach eine Meldung übertrieben falsch darstellen, obwohl in Wort und Text dort was komplett anderes steht.
Kein Plan was dich jetzt genau stört. Störend ist mMn, dass so banale Dinge wie Lesen und Verstehen mittlerweile so selten sind...

Es ist auch nicht meine Aufgabe als Leser, herauszufinden, woher der Nonsens kommt.

Stimmt, aber genau so wenig ist es deine Aufgabe, einfach Behauptungen in den Raum zu stellen, die schlicht unwahr sind, weil sie so nicht stattgefunden haben. Die Presse hat in dem Fall hier keine Schuld.

Nicht dass da nicht dennoch was kritikwürdiges ist - mMn bspw. dass vor allem im deutschsprachigen Raum alles über Nachplappern passiert - selten bis nie wird selbstständig über sowas informiert. Aber das ist eine ganz andere Baustelle...
Problematisch ist das immer dann, wenn durch die Kette von Nachplapperei eben Infos verloren gehen. Siehe oben meine Aussage. Da wird im Artikel von einem Widerspruch gesprochen obwohl das eine mit dem anderen nix zu tun hat. Man muss nicht alles wissen, gar kein Ding. Aber man sollte sich informieren, wenn man so Meldungen raus haut. Hier entsteht (leider häufig bei Security Themen) der Eindruck, als ist dem Schreiber der Zusammenhang der gesagten Dinge nicht bewusst. Weder technisch noch organisatorisch.

 

[Goodplayer]

@FuSiOnPaiNz ich habe früher gerne Teamviewer privat verwendet, bis sie mich als kommerziell eingestuft hatten - was ich aber nicht war.

Jetzt verwende ich ab und zu AnyDesk, aber nur wenn nötig und nicht installiert, von daher gibt es hier auch kein Problem.

Bei AnyDesk wird man bei neueren Versionen (Ende 2022/Anfang 2023?) nach einer Stunde getrennt. Man muss sich dann neu verbinden. Hatte da auch erst an einen Fehler geglaubt, als das mir passiert ist.

Ja ich auch, TeamViewer hat mich ebenfalls als kommerziell eingestuft. AnyDesk geht mittlerweile auch den gleichen Weg. Die schmeissen mich auch nach einer gewissen Zeit raus und ich soll dann eine Lizenz kaufen.

Bei AnyDesk wird man nach einer Stunde getrennt, das wurde glaube ich letztes Jahr eingeführt. Die Investoren wollen halt auch langsam Geld sehen ...

Generell scheint es bei AnyDesk seit letztem Jahr Probleme zu geben:

https://www.borncity.com/blog/2023/03/31/was-ist-bei-anydesk-los/

 

[FuSiOnPaiNz]

Was stört dich daran? Ich nutzte auch RustDesk und bin absolut zufrieden.
Nutze nur nicht den Self-hostesd Server. Da sollte ich mich mal einlesen.

Ich nutze momentan nur RustDesk, hätte aber gerne eine Web-Konsole.
Dafür bräuchte ich allerdings eine RustDesk Pro Lizenz und ich möchte nicht monatlich dafür zahlen.
Also schaue ich mal, was es sonst noch so auf dem Markt gibt.

 

[h3@d1355_h0r53]

Wenn Zugriff auf das interne System bestand, dann ggf. auch auf Quellcode bzw. Entwicklungsumgebungen. Dann kann man da „einfach“ seine Backdoor in das Programm einschleusen und hat Zugriff auf alle, die die aktuelle Teamviewer Version einsetzen. Da braucht man kein Zugriff auf die Systeme, die die Sessions verarbeiten.
Und als Backdoor reicht in dem Fall einfach 2-3 gut platzierter Bugs, die in der Summe dann Zugriff erlauben. Alles kann, nichts muss. Nur sollte man sich nicht hinstellen und die Angreifer als Profis und so hinstellen, Schuld ist man da wahrscheinlich alleine weil ungepatchte Software im Einsatz, Mitarbeiter zu viel Rechte und halt eine nicht sichere IT-Umgebung.

Insofern ist die Aussage von TeamViewer erstmal Marketinggeblubber. Die können jetzt schön suchen was passiert ist, ohne jemals herauszufinden was passiert ist wenn es dumm läuft.

Und dass die russische Hackbeamten nicht so kleinkariert denken haben wir alle mitbekommen als der Ukrainekrieg offiziell startete - mit gemoddeten Updates für satellitengestützte Steuerung, die bei uns u.a. Windkraft offline geschaltet hat. Das war schon richtig gut gemacht.

 

[supertramp]

Da es jetzt in Mode ist die Russen für all den Unheil zu beschuldigen sind die es halt....

Nicht immer, manchmal ist es auch der Chinese oder Nordkorea 😀

 

[Kadett_Pirx]

Ganz eindeutig, von Leuten wie dir, die einfach eine Meldung übertrieben falsch darstellen, obwohl in Wort und Text dort was komplett anderes steht.
...

Nein, hier in dem Fall von Computerbase, die Russland prominent im Titel erwähnen. Das wäre selbst dann nicht ok, wenn irgendwann, falls sich die Sache mal geklärt haben sollte, eine Artikelüberschrift mit "Russland war es nicht" erscheinen würde, was aber wahrscheinlich nie passieren wird.

Du weißt doch ganz genau, was für die Masse hängenbleibt - und das ohne Beweise. Das ist einfach nur unseriös.

 

[Mensch_lein]

@fdsonne

Ganz eindeutig, von Leuten wie dir, die einfach eine Meldung übertrieben falsch darstellen, obwohl in Wort und Text dort was komplett anderes steht.

Während sich TeamViewer selbst bislang nicht zur Herkunft des Angriffs äußert, sollen in sozialen Netzwerken kursierende interne Memos der IT-Sicherheitsorganisation NCC Group jedoch Angreifer aus Russland nennen. Dabei wird auch von einem ATP – Advanced Persistant Threat – gesprochen. Ein Advanced Persistent Threat liegt vor, wenn eine gut ausgebildete, üblicherweise staatlich gesteuerte Hacker-Gruppe sich über einen längeren Zeitraum Zugriff zu einem System zum Zwecke der Spionage oder Sabotage verschafft.

Die It-Sicherheitsorganisation NCC Group.

Dann solltest du dich einfach mal an deine Deutschstunden in der Schule zurück erinnern.

Beleidigend muss man nur werden, wenn man nicht wirklich Argumente hat.

Dass die Medien es so aussehen lassen. Da ging meine Kritik nicht zwingend um die Firma, sondern es ging um das, was wir hier zu lesen bekommen haben.

Wer da wen nicht verstanden hat, überlasse ich mal den Mitlesern.

Aber ich las nochmals deinen Kommentar zu SVEN und es wird mir langsam klar, dass deine Arroganz und hochnäsige Art nunmal nicht ablegbar ist und, noch viel wichtiger, es scheint deine Art der Gesprächsführung zu sein, andere anzugehen, damit du dich als den schlauen hochstilisieren kannst/versuchst. Ganz davon abgesehen, dass du mir etwas unterstellst, das ich nicht getan habe/lies notfalls nochmals, was ich geschrieben habe. Oder überleg dir einfach mal, was ich mit dem Beispiel MS aufzeigen wollte. Am einfachsten für dich ist es aber, weiter dieselbe Schiene zu fahren.

Bringt uns das weiter? Ich glaube nein.

 

[Ben99]

Wer noch Alternativen sucht, ich finde Meshcentral sehr gut für meine(!) Zwecke. Ist auch Open Source und man kann den Server selbst hosten (ist aber m.M.n. nicht ganz so easy aufzusetzen wie andere Produkte).

 

[Ranayna]

Da es jetzt in Mode ist die Russen für all den Unheil zu beschuldigen sind die es halt....

Man muss aber ganz klar sagen, das dieser Ruf der "Russen" nicht von ungefaehr kommt.
Es ist klar, und das war schon lange vor dem Ukrainekrieg so, das die russische Regierung Cyberkriminelle die den "Westen" (also westliche Unternehmen) angreifen, gewaehren laesst. Die russische Regierung hat selten ein Interesse gezeigt gegen solche Gruppierungen vorzugehen, solange russische Unternehmen nicht angegriffen werden, oder russische Buerger betroffen sind.

Der Redaktion von CB kann man allerhoechstens vorhalten, diesen verallgemeinerten Titel zu verwenden. Aber so oft habe ich das Gefuehl das Leser das auch gerne absichtlich falsch interpretieren.
Ob da nun russische Geheimdienste oder gar die russische Regierung ihre Finger direkt drin haben kann ich nicht beurteilen, dafuer reicht die Informationslage nicht aus.

 

[fdsonne]

Nein, hier in dem Fall von Computerbase, die Russland prominent im Titel erwähnen.

Als Frage geschrieben?
Sie hätten auch schreiben können: "TeamViewer: Kam der Hack von den Russen??????????" -> nur normal sollte ein Fragezeichen reichen um einen Satz in eine Frage zu verwandeln.

Die It-Sicherheitsorganisation NCC Group.

Das ist aber im Zusammenhang einfach falsch dargelegt. Wie gesagt, die Nachplapperei der Presse führt zu Fehlern. Nichts desto trotz ist das nicht als Fakt dargelegt.
In der Quelle ist es nämlich nicht die NCC Group, sondern die "die Organisation Health-ISAC"

"So zirkuliert in sozialen Netzwerken ein Auszug eines internen Memos der NCC Group, in dem von einer signifikanten Kompromittierung durch ein APT die Rede ist. Dabei soll es sich um "Cozy Bear", eine vom russischen Geheimdienst SWR gesteuerte Gruppe, handeln, will die Organisation Health-ISAC (Information Sharing and Analysis Center) aus sicherer Quelle erfahren haben."

Es ist hier doch recht deutlich sichtbar, dass man im Textfluss durch den gedrehten Satzbau mit dem anschließenden "will ... erfahren haben" den ersten Teil auf den vorherigen Satz bezieht. Nur ist das halt faktisch falsch, weil das da so nicht steht. Der Zeite Satz ist Konjuktiv weil will die Health-ISAC erfahren haben und der erste bezieht sich auf einen Auszug von einem Paper der NCC Group.

Wie gesagt, hier kann (muss??) man halt den Redakteur dahingehend kritisieren, dass der Sinnzusammenhang flöten geht. Aber er macht immernoch kein Fakt draus... Denn "sollen nennen" ist einfach kein Fakt. Ein Fakt wäre, "nannten" oder "nennen".

Beleidigend muss man nur werden, wenn man nicht wirklich Argumente hat.

Das war keine Beleidigung. Konjunktiv doch jetzt nix irgendwie schweres? Sorry, aber wenn du fragst, wer dafür verantwortlich ist, dann nenne ich Beispiele - du hast die Behauptung oben u.A. in den Raum gestellt:

"Hier wird aber jede Meldung die den "Feinden" Russland/China/Iran etc pp anprangert, egal ob nun zu Recht, oder Unrecht als Tatsache angesehen."

Das ist halt einfach eine Unwahrheit. Du trägst damit maßgeblich dazu bei, dass Fragen wie:
"Woher kommt denn die Aussage, es seien die Russen gewesen?"
kommen.

Aber ich las nochmals deinen Kommentar zu SVEN ...

Er ist halt selbst Redakteur oder News Schreiber. War er auch hier bei CB mal. Seine Worte ggü. der Redaktion sind mMn schon hart bzw. unfair und das habe ich kritisiert. Kann man teilen, aber wenn nicht, ist doch auch OK!?

 

[NoNameNoHonor]

Woher wollen die denn direkt wissen, woher der "Angriff", falls es den überhaupt gegeben haben sollte, kam? sehr unseriös

Ich arbeite auch in der IT-Security und nein, man beurteilt das nicht durch die IP-Adresse vorrangig, sondern durch das Angriffsmuster/die Art des Angriffs und der hinterlassenen Spuren.
So viel Halbwissen im Forum immer...

 

[aluis]

Ich bin mir absolut sicher, irgendwann wird der TeamViewer-Super-Gau kommen. Es ist überhaupt nicht eine Frage ob, sondern nur wann.

Es gibt halt noch sehr viele andere Vektoren außer böse (russische) Hacker... Falls dort mal ein Mitarbeiter durchdreht oder nachlässig wird, wars das. Will irgendwer behaupten, es gäbe 100%ige Sicherheit?

Man kann vielleicht ein VPN hacken, aber eben nicht alle. Seine Sicherheit in einen zentrales System wie TeamViewer zu legen ist mMn eine ganz schlechte Idee.

 

[Zero_Official]

Man muss aber ganz klar sagen, das dieser Ruf der "Russen" nicht von ungefaehr kommt.
Es ist klar, und das war schon lange vor dem Ukrainekrieg so, das die russische Regierung Cyberkriminelle die den "Westen" (also westliche Unternehmen) angreifen, gewaehren laesst. Die russische Regierung hat selten ein Interesse gezeigt gegen solche Gruppierungen vorzugehen, solange russische Unternehmen nicht angegriffen werden, oder russische Buerger betroffen sind.

nur mal um klar zustellen:
Wer(land) heute nicht hackt oder spioniert ist selber schuld.
Wer sich erwischen lässt ist der Doofe.

aber pauschal zu sagen: bei mir ist was nicht koscher also waren es die Russen Chinesen oder Belgier finde ich Doof.

 

[Frank]

Artikel-Update: TeamViewer hat inzwischen weitere Details zu dem Vorfall bekannt gegeben. Im neuen Statement bestätigt das Unternehmen die Vermutung, dass die APT-Gruppe Midnight Blizzard hinter dem Angriff steckt. Sie habe demnach Anmeldedaten eines Standard-Mitarbeiterkontos für den Zugriff auf die interne IT des Unternehmens genutzt. TeamViewer bekräftigt zudem noch einmal, dass nach bisherigem Wissensstand keine Produktumgebungen oder Kundendaten betroffen sind.

Eine Taskforce bestehend aus den Sicherheitsteams von TeamViewer und weltweit führenden Cybersicherheitsexperten hat rund um die Uhr mit allen verfügbaren Mitteln an der Untersuchung des Vorfalls gearbeitet. Wir stehen zudem in ständigem Austausch mit weiteren Threat Intelligence Anbietern und relevanten Behörden, um eine bestmögliche Aufklärung sicherzustellen.

Aktuelle Ergebnisse der Untersuchung deuten auf einen Angriff am Mittwoch, den 26. Juni, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in unserer Corporate IT Umgebung erfolgte. Auf Basis kontinuierlichen Sicherheitsmonitorings haben unsere Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen. Zusammen mit unserem externen Incident Response Dienstleister führen wir den Angriff derzeit auf die als APT29 / Midnight Blizzard bekannte Gruppe zurück. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschränkt. Es gibt keine Hinweise darauf, dass die Angreifer Zugang zu unserer Produktumgebung oder zu Kundendaten erlangt haben.

Gemäß unserer Best-Practice Systemarchitektur verfügt TeamViewer über eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer Konnektivitätsplattform. Dies bedeutet, dass wir alle Server, Netzwerke und Konten strikt getrennt halten, um unbefugten Zugriff und Bewegungen zwischen den verschiedenen Umgebungen zu verhindern. Diese Trennung ist eine von mehreren Schutzebenen in unserem "Defense in-depth" Ansatz.

Sicherheit ist für uns von größter Bedeutung, sie ist tief in unserer DNA verwurzelt. Daher verpflichten wir uns zu einer transparenten Kommunikation mit allen Beteiligten. Wir werden den Status der Untersuchungen weiter in unserem Trust Center aktualisieren, sobald neue Informationen verfügbar sind. Wir gehen davon aus, dass wir das nächste Update bis zum Ende des heutigen Tages MESZ veröffentlichen werden.

 

[Kadett_Pirx]

...ATP...

oder APT