6月1日周三,TeamViewer網站無法訪問,據說原因是由針對TeamViewer DNS-Server基礎架構的拒絕服務攻擊(DoS)造成的。TeamViewer隨后作出回應,表示會盡快修復問題,使所有服務恢復正常。
關于TeamViewer
TeamViewer GmbH公司創建于2005年,總部位于德國,致力于研發和銷售高端的在線協作和通訊解決方案。TeamViewer是世界上最流行的遠程控制和在線會議軟件供應商之一,在全球擁有超過200萬用戶。
網站無法訪問
TeamViewer的網站于周三大約12點時無法訪問,下午12點50分左右又在部分地區恢復了正常,此次故障的根源似乎在于DNS服務器。
但是,TeamViewer的許多客戶都認為他們的電腦受到了黑客的惡意訪問。并向Reddit表明了他們的擔憂,分享了他們的想法并試圖尋找答案。甚至還有用戶報告稱他們的PayPal和銀行賬戶同時被黑。
【Reddit部分截圖】
Reddit的用戶ShatteredAutumn說:
“我使用了一個很強的密碼,是為TeamViewer單獨設置的,但黑客還是侵入并清理了我的銀行賬戶。他們在登錄之后,使用ChromePass看到了我存儲在Chrome里的密碼。”
另一名Reddit用戶Jekerdud說:
“黑客通過隨機非接觸式遠程進入我的電腦,清空了我的銀行賬戶。”
TeamViewer:我們沒安全漏洞
這已經不是TeamViewer第一次受到黑客攻擊傳聞的困擾了。5月23日,TeamViewer就曾否認他們的安全存在問題,稱只是遇到了技術問題,否認黑客入侵。而用戶PayPal和銀行賬戶被黑可能是與最近的大量賬號泄露有關,包括 LinkedIn在內的社交網站有數億賬號泄露,而很多人可能共享了密碼。
TeamViewer團隊在Twitter中寫道:
“我們只是遇到了一些技術問題,我們的DNS服務器遭受了拒絕服務攻擊,TeamViewer自身并不存在安全漏洞。”
網友熱議
以下內容作者:Flanker Edward
鏈接:https://www.zhihu.com/question/47032433/answer/104011219
來源:知乎
從目前的討論來看:攻擊者目的明確,手段統一,屬于批量快速作案:ebay amazon購買充值卡/paypal轉賬,提取瀏覽器密碼,安裝后門
TeamViewer的dns又恰好出現一段時間outage,有人指出域名被指向了天朝的IP[1],部分受害者表示遠程登錄的IP同樣來自天朝[2]和一些VPS肉雞,被黑的TeamViewer版本都是11[3],不能排除流量劫持更新包的可能。有受害者表示開啟了二次驗證并沒有泄漏密碼的依然被黑,事件并不像簡單的撞庫。
有意思的一個細節是在具有自動化批量攻擊技術可能的前提下,攻擊仍然是人肉鏈接受害者電腦然后進行操作的方式進行,猜測這里也存在著洗號-批量分發人工嘗試的鏈條。有受害者發現如果攻擊者嘗試登陸的電腦里設置了系統登錄密碼,這臺電腦會被跳過繼續嘗試其他的。
這里面有個問題是,TeamViewer連接上目標機后一般是需要過系統自身鎖屏的,現在并不知道攻擊者如何通過,還是說受害的家庭用戶一般沒有設置賬戶密碼。
部分受害者保留了malware樣本,后續如果能公開的話可以做下關聯分析。
[1]: https://twitter.com/TheRegister/status/738081254294196224
[2]: Random connection accesses ebay : teamviewer
[3]: Teamviewer Breach Masterthread
目前建議最好是暫時停用teamviewer并檢查日志和可疑訪問記錄、可疑進程、瀏覽歷史、郵箱中的轉賬記錄。如果有剛需必須使用建議開啟二次驗證、開啟賬戶登錄白名單、開啟單個設備訪問密碼。
說句題外話,在目前受害者的討論帖中基本上所有人都得到了PayPal和Amazon對賬戶被盜產生的操作的積極撤回處理,這要是發生在天朝有人被這樣盜用轉賬,估計責任又要被都推到受害人頭上…