Venemaa APT29 häkkerite rühm võib olla hiljutise TeamVieweri ärakasutamise küberrünnaku taga

Laialdaselt kasutatav kaugühenduse tarkvara pakkuja TeamViewer on teatanud kompromissist oma ettevõtte võrgus, kusjuures mõned allikad omistavad rünnaku Venemaa täiustatud püsiva ohu (APT) rühmale . 26. juunil tuvastas TeamVieweri turvameeskond ettevõttesiseses IT-keskkonnas "ebakorrapärasuse". Ettevõte kinnitas kasutajatele, et see keskkond erineb tootekeskkonnast, mis näitab, et kliendi andmed jäävad muutumatuks. Vaatamata sellele kinnitusele on käimasoleva uurimise eesmärk säilitada nende süsteemide terviklikkus.

TeamVieweri veebisaidil avaldatud avalduse kohaselt ei ole praegu tõendeid selle kohta, et rikkumine oleks mõjutanud tootekeskkonda või kliendiandmeid. Sellegipoolest on ettevõte uurimise jätkudes valvas. TeamViewer on lubanud läbipaistvust ja pakub värskendusi, kui rohkem teavet saadakse.

Rikkumine on pälvinud tähelepanu sotsiaalmeedias, kusjuures Mastodoni kasutaja nimega Jeffrey teatas, et NCC Groupi ohuluure meeskond on teavitanud oma kliente TeamVieweri kaugjuurdepääsu ja tugiplatvormi "olulisest kompromissist" APT grupi poolt. Lisaks on USA-s asuv terviseteabe jagamise ja analüüsi keskus (Health-ISAC) väljastanud hoiatuse, viidates usaldusväärse partneri luureandmetele, mis omistavad rünnaku kurikuulsale APT29 rühmale , tuntud ka kui Cozy Bear või Midnight Blizzard. See Venemaa riiklikult toetatav rühmitus on kurikuulus oluliste organisatsioonide vastu suunatud suure mõjuga küberrünnakute korraldamise poolest.

Health-ISAC-i hoiatus soovitas organisatsioonidel oma logid üle vaadata ebatavalise kaugtöölaualiikluse tuvastamiseks, märkides, et ohutegureid on kaugjuurdepääsu tööriistu kasutades täheldatud. Organisatsioon rõhutas valvsuse tähtsust selliste ohtude avastamisel ja leevendamisel.

APT29-l on pikk küberspionaaži ajalugu, mille sihtmärgiks on sageli valitsusasutused ja muud kõrgetasemelised üksused. Nende taktikad, tehnikad ja protseduurid (TTP-d) on hästi dokumenteeritud ning hõlmavad kaugjuurdepääsu tööriistade võimendamist sihtvõrkudesse imbumiseks ja nendes püsimiseks.

See hiljutine juhtum pole esimene kord, kui TeamViewer on küberkurjategijate sihikule sattunud. 2019. aastal avalikustas TeamViewer, et sellesse häkkis 2016. aastal sisse ohus osaleja, kes arvatavasti tegutses Hiinast. Ettevõte otsustas rikkumist kohe mitte avalikustada, viidates asjaolule, et puuduvad tõendid selle mõju kohta klientidele.

Vastuseks viimasele rikkumisele on TeamViewer rõhutanud oma pühendumust läbipaistvusele ja jätkab juurdluse edenedes värskenduste pakkumist. Ettevõte keskendub jätkuvalt oma süsteemide turvalisuse ja terviklikkuse tagamisele, kaitstes nii ettevõtte kui ka tootekeskkonda.