Η ρωσική ομάδα χάκερ APT29 μπορεί να βρίσκεται πίσω από την πρόσφατη κυβερνοεπίθεση εκμετάλλευσης TeamViewer

Το TeamViewer, ένας ευρέως χρησιμοποιούμενος πάροχος λογισμικού απομακρυσμένης συνδεσιμότητας, ανέφερε συμβιβασμό στο εταιρικό του δίκτυο, με ορισμένες πηγές να αποδίδουν την επίθεση σε μια ομάδα Ρωσικής Προηγμένης Μόνιμης Απειλής (APT) . Στις 26 Ιουνίου, η ομάδα ασφαλείας του TeamViewer εντόπισε μια «παρατυπία» στο εσωτερικό εταιρικό περιβάλλον πληροφορικής της. Η εταιρεία διαβεβαίωσε τους χρήστες ότι αυτό το περιβάλλον είναι διαφορετικό από το περιβάλλον του προϊόντος, υποδεικνύοντας έτσι ότι τα δεδομένα πελατών παραμένουν ανεπηρέαστα. Παρά τη διαβεβαίωση αυτή, η συνεχιζόμενη έρευνα στοχεύει στη διατήρηση της ακεραιότητας των συστημάτων τους.

Σύμφωνα με δήλωση στον ιστότοπο του TeamViewer, δεν υπάρχουν προς το παρόν στοιχεία που να υποδηλώνουν ότι η παραβίαση έχει επηρεάσει το περιβάλλον του προϊόντος ή τα δεδομένα πελατών. Ωστόσο, η εταιρεία παραμένει σε επαγρύπνηση καθώς οι έρευνες συνεχίζονται. Το TeamViewer έχει δεσμευτεί για διαφάνεια και θα παρέχει ενημερώσεις μόλις γίνουν διαθέσιμες περισσότερες πληροφορίες.

Η παραβίαση έχει τραβήξει την προσοχή στα μέσα κοινωνικής δικτύωσης, με έναν χρήστη του Mastodon που ονομάζεται Jeffrey να αναφέρει ότι η ομάδα πληροφοριών απειλών του NCC Group ειδοποιούσε τους πελάτες τους για έναν «σημαντικό συμβιβασμό» της πλατφόρμας απομακρυσμένης πρόσβασης και υποστήριξης TeamViewer από μια ομάδα APT. Επιπλέον, το Κέντρο Διαμοιρασμού και Ανάλυσης Πληροφοριών Υγείας (Health-ISAC) με έδρα τις ΗΠΑ εξέδωσε μια προειδοποίηση, επικαλούμενη πληροφορίες από έναν αξιόπιστο συνεργάτη που αποδίδει την επίθεση στην περιβόητη ομάδα APT29 , γνωστή και ως Cozy Bear ή Midnight Blizzard. Αυτή η ομάδα που χρηματοδοτείται από το ρωσικό κράτος είναι διαβόητη για την εκτέλεση κυβερνοεπιθέσεων υψηλού αντίκτυπου εναντίον σημαντικών οργανισμών.

Η ειδοποίηση της Health-ISAC συνέστησε στους οργανισμούς να ελέγχουν τα αρχεία καταγραφής τους για τυχόν ασυνήθιστη κίνηση απομακρυσμένων επιτραπέζιων υπολογιστών, σημειώνοντας ότι οι παράγοντες απειλής έχουν παρατηρηθεί χρησιμοποιώντας εργαλεία απομακρυσμένης πρόσβασης. Ο οργανισμός τόνισε τη σημασία της επαγρύπνησης για τον εντοπισμό και τον μετριασμό τέτοιων απειλών.

Το APT29 έχει μακρά ιστορία κυβερνοκατασκοπείας, στοχεύοντας συχνά κυβερνητικές και άλλες οντότητες υψηλού προφίλ. Οι τακτικές, οι τεχνικές και οι διαδικασίες τους (TTP) είναι καλά τεκμηριωμένες και περιλαμβάνουν μόχλευση εργαλείων απομακρυσμένης πρόσβασης για διείσδυση και διατήρηση εντός των δικτύων-στόχων.

Αυτό το πρόσφατο περιστατικό δεν είναι η πρώτη φορά που το TeamViewer γίνεται στόχος κυβερνοεγκληματιών. Το 2019, το TeamViewer αποκάλυψε ότι είχε χακαριστεί το 2016 από έναν παράγοντα απειλών που πιστεύεται ότι δραστηριοποιείται από την Κίνα. Η εταιρεία επέλεξε να μην αποκαλύψει αμέσως την παραβίαση, επικαλούμενη έλλειψη αποδεικτικών στοιχείων για τον αντίκτυπο στους πελάτες.

Σε απάντηση στην τελευταία παραβίαση, το TeamViewer έχει τονίσει τη δέσμευσή του για διαφάνεια και θα συνεχίσει να παρέχει ενημερώσεις καθώς προχωρά η έρευνα. Η κύρια εστίαση της εταιρείας παραμένει στη διασφάλιση της ασφάλειας και της ακεραιότητας των συστημάτων της, προστατεύοντας τόσο το εταιρικό όσο και το περιβάλλον προϊόντων της.