گروه هکر روسی APT29 ممکن است پشت حمله سایبری اخیر TeamViewer باشد

TeamViewer، یک ارائه‌دهنده نرم‌افزار اتصال از راه دور که به طور گسترده مورد استفاده قرار می‌گیرد، گزارش کرده است که در شبکه شرکتی خود به خطر افتاده است و برخی منابع این حمله را به یک گروه تهدید دائمی پیشرفته روسیه (APT) نسبت می‌دهند. در 26 ژوئن، تیم امنیتی TeamViewer یک "بی نظمی" را در محیط داخلی IT شرکت شناسایی کرد. این شرکت به کاربران اطمینان داد که این محیط از محیط محصول متمایز است، بنابراین نشان می‌دهد که اطلاعات مشتری بی‌تأثیر باقی می‌ماند. علیرغم این اطمینان، تحقیقات در حال انجام با هدف حفظ یکپارچگی سیستم های آنها است.

بر اساس بیانیه ای در وب سایت TeamViewer، در حال حاضر هیچ مدرکی وجود ندارد که نشان دهد این نقض بر محیط محصول یا داده های مشتری تأثیر گذاشته است. با این وجود، با ادامه تحقیقات، این شرکت هوشیار است. TeamViewer متعهد به شفافیت شده است و با در دسترس قرار گرفتن اطلاعات بیشتر، به روز رسانی ها را ارائه خواهد کرد.

این نقض توجه در رسانه های اجتماعی را به خود جلب کرده است، به طوری که یکی از کاربران Mastodon به نام جفری گزارش داده است که تیم اطلاعاتی تهدیدات گروه NCC به مشتریان خود در مورد "سازش قابل توجه" دسترسی از راه دور و پلت فرم پشتیبانی TeamViewer توسط یک گروه APT اطلاع داده است. علاوه بر این، مرکز تجزیه و تحلیل و به اشتراک گذاری اطلاعات سلامت در ایالات متحده (Health-ISAC) با استناد به اطلاعات یک شریک مورد اعتماد که حمله را به گروه بدنام APT29 ، که به نام Cozy Bear یا Midnight Blizzard نیز می‌گویند، هشداری صادر کرده است. این گروه تحت حمایت دولت روسیه به دلیل انجام حملات سایبری با تاثیر بالا علیه سازمان های مهم بدنام است.

هشدار Health-ISAC توصیه می‌کند که سازمان‌ها گزارش‌های خود را برای هرگونه ترافیک غیرمعمول دسک‌تاپ از راه دور بررسی کنند، با اشاره به اینکه عوامل تهدید با استفاده از ابزارهای دسترسی از راه دور مشاهده شده‌اند. این سازمان بر اهمیت هوشیاری در شناسایی و کاهش چنین تهدیداتی تاکید کرد.

APT29 سابقه طولانی در جاسوسی سایبری دارد که اغلب نهادهای دولتی و دیگر نهادهای برجسته را هدف قرار می دهد. تاکتیک‌ها، تکنیک‌ها و رویه‌های آن‌ها (TTP) به خوبی مستند شده‌اند و شامل ابزارهای دسترسی از راه دور برای نفوذ و تداوم در شبکه‌های هدف می‌شوند.

این حادثه اخیر اولین بار نیست که TeamViewer مورد هدف مجرمان سایبری قرار می گیرد. در سال 2019، TeamViewer فاش کرد که در سال 2016 توسط یک عامل تهدید هک شده است که گمان می رود از چین فعالیت می کند. این شرکت تصمیم گرفت فوراً نقض را فاش نکند و دلیل آن فقدان شواهد دال بر تأثیر آن بر مشتریان بود.

در پاسخ به آخرین نقض، TeamViewer بر تعهد خود به شفافیت تاکید کرده است و به ارائه به‌روزرسانی‌ها با پیشرفت تحقیقات ادامه خواهد داد. تمرکز اصلی این شرکت بر تضمین امنیت و یکپارچگی سیستم‌هایش، حفاظت از محیط‌های شرکتی و محصولی خود باقی می‌ماند.