Venäläinen APT29-hakkeriryhmä saattaa olla viimeaikaisen TeamViewer-hyväksynnän kyberhyökkäyksen takana

TeamViewer, laajalti käytetty etäyhteysohjelmistojen toimittaja, on ilmoittanut kompromissista yritysverkossaan, ja jotkut lähteet ovat katsoneet hyökkäyksen venäläiselle Advanced Persistent Threat (APT) -ryhmälle . TeamViewerin tietoturvatiimi havaitsi 26. kesäkuuta "epäsäännöllisyyden" yrityksen sisäisessä IT-ympäristössä. Yhtiö vakuutti käyttäjille, että tämä ympäristö eroaa tuoteympäristöstä, mikä osoitti, että asiakastietoihin ei vaikuteta. Tästä vakuutuksesta huolimatta meneillään olevan tutkimuksen tavoitteena on ylläpitää heidän järjestelmiensä eheyttä.

TeamViewerin verkkosivuilla olevan lausunnon mukaan tällä hetkellä ei ole näyttöä siitä, että rikkomus olisi vaikuttanut tuoteympäristöön tai asiakastietoihin. Siitä huolimatta yhtiö pysyy valppaana, kun tutkimukset jatkuvat. TeamViewer on luvannut avoimuutta ja toimittaa päivityksiä, kun lisätietoja tulee saataville.

Rikkomus on herättänyt huomiota sosiaalisessa mediassa, ja Mastodon-käyttäjä nimeltä Jeffrey raportoi, että NCC Groupin uhkatiedustelutiimi on ilmoittanut asiakkailleen APT-ryhmän tekemästä TeamViewerin etäkäyttö- ja tukialustan "merkittävästä kompromissista". Lisäksi yhdysvaltalainen Health Information Sharing and Analysis Center (Health-ISAC) on antanut hälytyksen, joka vetoaa luotetulta kumppanilta saatuihin tiedustelutietoihin, joiden mukaan hyökkäys on pahamaineinen APT29-ryhmä , joka tunnetaan myös nimellä Cozy Bear tai Midnight Blizzard. Tämä Venäjän valtion tukema ryhmä on surullisen kuuluisa tehokkaista kyberhyökkäyksistä merkittäviä organisaatioita vastaan.

Health-ISAC:n hälytys suositteli, että organisaatiot tarkistavat lokinsa epätavallisen etätyöpöytäliikenteen varalta. Siinä todettiin, että uhkatekijöitä on havaittu käyttämällä etäkäyttötyökaluja. Organisaatio korosti valppauden merkitystä tällaisten uhkien havaitsemisessa ja lieventämisessä.

APT29:llä on pitkä historia kybervakoilusta, ja se kohdistuu usein valtion ja muiden korkean profiilin tahoihin. Heidän taktiikat, tekniikat ja menettelyt (TTP) ovat hyvin dokumentoituja ja sisältävät etäkäyttötyökalujen tunkeutumisen kohdeverkkoihin ja pysyäkseen niissä.

Tämä viimeaikainen tapaus ei ole ensimmäinen kerta, kun TeamViewer joutuu kyberrikollisten kohteeksi. Vuonna 2019 TeamViewer paljasti, että uhkatoimija, jonka uskottiin toimivan Kiinasta, oli hakkeroitu vuonna 2016. Yhtiö päätti olla paljastamatta rikkomusta välittömästi vedoten todisteiden puuttumiseen vaikutuksista asiakkaisiin.

Vastauksena viimeisimpään rikkomukseen TeamViewer on korostanut sitoutumistaan avoimuuteen ja jatkaa päivitysten toimittamista tutkimuksen edetessä. Yrityksen pääpaino on edelleen järjestelmiensä turvallisuuden ja eheyden varmistamisessa sekä yritys- että tuoteympäristöjen turvaamisessa.