Russisk APT29 Hacker Group kan stå bag det seneste TeamViewer-cyberangreb

TeamViewer, en udbredt udbyder af fjernforbindelsessoftware, har rapporteret et kompromis i sit firmanetværk, hvor nogle kilder tilskriver angrebet en russisk Advanced Persistent Threat (APT) gruppe . Den 26. juni identificerede TeamViewers sikkerhedsteam en "uregelmæssighed" i dets interne IT-miljø. Virksomheden forsikrede brugerne om, at dette miljø adskiller sig fra produktmiljøet, hvilket indikerer, at kundedata forbliver upåvirket. På trods af denne forsikring har den igangværende undersøgelse til formål at opretholde integriteten af deres systemer.

Ifølge en erklæring på TeamViewers hjemmeside er der i øjeblikket ingen beviser, der tyder på, at bruddet har påvirket produktmiljøet eller kundedata. Ikke desto mindre er virksomheden fortsat på vagt, mens undersøgelserne fortsætter. TeamViewer har lovet gennemsigtighed og vil give opdateringer, efterhånden som flere oplysninger bliver tilgængelige.

Bruddet har vakt opmærksomhed på sociale medier, hvor en Mastodon-bruger ved navn Jeffrey rapporterer, at NCC Groups trusselsefterretningsteam har underrettet deres kunder om et "betydeligt kompromis" af TeamViewer-fjernadgang og -supportplatformen af en APT-gruppe. Ydermere har det USA-baserede Health Information Sharing and Analysis Center (Health-ISAC) udsendt en advarsel med henvisning til efterretninger fra en betroet partner, der tilskriver angrebet den berygtede APT29-gruppe , også kendt som Cozy Bear eller Midnight Blizzard. Denne russisk statssponserede gruppe er berygtet for at udføre kraftige cyberangreb mod betydelige organisationer.

Health-ISAC's advarsel anbefalede, at organisationer gennemgår deres logfiler for usædvanlig remote desktop-trafik, idet de bemærkede, at trusselsaktører er blevet observeret ved hjælp af fjernadgangsværktøjer. Organisationen fremhævede vigtigheden af årvågenhed i at opdage og afbøde sådanne trusler.

APT29 har en lang historie med cyberspionage, ofte rettet mod statslige og andre højtprofilerede enheder. Deres taktik, teknikker og procedurer (TTP'er) er veldokumenterede og inkluderer udnyttelse af fjernadgangsværktøjer til at infiltrere og fortsætte i målnetværk.

Denne nylige hændelse er ikke første gang, TeamViewer er blevet målrettet af cyberkriminelle. I 2019 afslørede TeamViewer, at det var blevet hacket i 2016 af en trusselsaktør, der menes at operere fra Kina. Virksomheden valgte ikke at afsløre bruddet med det samme, med henvisning til manglende beviser for indvirkning på kunderne.

Som svar på det seneste brud har TeamViewer understreget sit engagement i gennemsigtighed og vil fortsætte med at levere opdateringer, efterhånden som undersøgelsen skrider frem. Virksomhedens primære fokus er fortsat på at sikre sikkerheden og integriteten af dets systemer og beskytte både dets virksomheds- og produktmiljøer.