Ruská skupina hackerů APT29 může stát za nedávným kyberútokem zneužívání TeamViewer

TeamViewer, široce používaný poskytovatel softwaru pro vzdálené připojení, ohlásil kompromis ve své podnikové síti, přičemž některé zdroje připisují útok ruské skupině Advanced Persistent Threat (APT) . 26. června bezpečnostní tým TeamViewer identifikoval „nesrovnalost“ ve svém interním podnikovém IT prostředí. Společnost ujistila uživatele, že toto prostředí je odlišné od prostředí produktu, čímž naznačila, že zákaznická data zůstávají nedotčena. Navzdory tomuto ujištění je cílem probíhajícího vyšetřování zachovat integritu jejich systémů.

Podle prohlášení na webu TeamViewer v současné době neexistují žádné důkazy, které by naznačovaly, že by porušení mělo dopad na prostředí produktu nebo zákaznická data. Společnost nicméně zůstává ostražitá, protože vyšetřování pokračují. TeamViewer slíbil transparentnost a bude poskytovat aktualizace, jakmile budou k dispozici další informace.

Narušení vyvolalo pozornost na sociálních sítích, přičemž uživatel Mastodon jménem Jeffrey oznámil, že tým zpravodajství o hrozbách NCC Group informoval své zákazníky o „významném kompromisu“ platformy pro vzdálený přístup a podporu TeamViewer skupinou APT. Americké Středisko pro sdílení a analýzu zdravotnických informací (Health-ISAC) navíc vydalo výstrahu s odvoláním na informace od důvěryhodného partnera, které útok připisují nechvalně známé skupině APT29 , známé také jako Cozy Bear nebo Midnight Blizzard. Tato ruská státem podporovaná skupina je nechvalně známá tím, že provádí vysoce účinné kybernetické útoky proti významným organizacím.

Výstraha Health-ISAC doporučila organizacím, aby zkontrolovaly své protokoly, zda neobsahují jakýkoli neobvyklý provoz na vzdálené ploše, s tím, že aktéři hrozeb byli pozorováni pomocí nástrojů pro vzdálený přístup. Organizace zdůraznila důležitost bdělosti při odhalování a zmírňování takových hrozeb.

APT29 má dlouhou historii kybernetické špionáže, která se často zaměřuje na vládní a jiné vysoce postavené subjekty. Jejich taktiky, techniky a postupy (TTP) jsou dobře zdokumentované a zahrnují využití nástrojů pro vzdálený přístup k infiltraci a přetrvání v cílových sítích.

Tento nedávný incident není prvním, kdy se TeamViewer stal terčem kyberzločinců. V roce 2019 TeamViewer odhalil, že byl v roce 2016 napaden hrozbou, o níž se předpokládá, že působí z Číny. Společnost se rozhodla nezveřejnit porušení okamžitě s odkazem na nedostatek důkazů o dopadu na zákazníky.

V reakci na nejnovější porušení TeamViewer zdůraznil svůj závazek k transparentnosti a bude i nadále poskytovat aktualizace, jak bude vyšetřování pokračovat. Prvořadým zaměřením společnosti zůstává zajištění bezpečnosti a integrity svých systémů, ochrana firemního i produktového prostředí.