Ruska grupa hakera APT29 možda stoji iza nedavnog cyber napada TeamViewer Exploitation

TeamViewer, naširoko korišteni pružatelj softvera za daljinsko povezivanje, izvijestio je o kompromisu u svojoj korporativnoj mreži, a neki izvori napad pripisuju ruskoj skupini naprednih trajnih prijetnji (APT) . Dana 26. lipnja, sigurnosni tim TeamViewera identificirao je "nepravilnost" unutar internog korporativnog IT okruženja. Tvrtka je uvjerila korisnike da se ovo okruženje razlikuje od okruženja proizvoda, što ukazuje da podaci o kupcima ostaju nepromijenjeni. Unatoč ovom uvjeravanju, istraga koja je u tijeku ima za cilj održati integritet njihovih sustava.

Prema izjavi na web stranici TeamViewera, trenutno nema dokaza koji upućuju na to da je povreda utjecala na okruženje proizvoda ili podatke o kupcima. Unatoč tome, tvrtka ostaje na oprezu dok istrage traju. TeamViewer je obećao transparentnost i dat će ažuriranja kada bude dostupno više informacija.

Povreda je privukla pozornost na društvenim mrežama, a korisnik Mastodona po imenu Jeffrey izvijestio je da je tim za obavještavanje o prijetnjama NCC grupe obavještavao svoje klijente o "značajnom kompromitiranju" TeamViewer platforme za daljinski pristup i podršku od strane APT grupe. Nadalje, američki Centar za razmjenu i analizu zdravstvenih informacija (Health-ISAC) izdao je upozorenje pozivajući se na obavještajne podatke pouzdanog partnera koji napad pripisuje ozloglašenoj grupi APT29 , također poznatoj kao Cosy Bear ili Midnight Blizzard. Ova skupina koju sponzorira ruska država zloglasna je po izvođenju kibernetičkih napada velikog učinka na značajne organizacije.

Upozorenje Health-ISAC-a preporučuje organizacijama da pregledaju svoje zapisnike radi bilo kakvog neobičnog prometa udaljene radne površine, uz napomenu da su akteri prijetnji uočeni korištenjem alata za daljinski pristup. Organizacija je istaknula važnost opreza u otkrivanju i ublažavanju takvih prijetnji.

APT29 ima dugu povijest kibernetičke špijunaže, često ciljajući na vladine i druge subjekte visokog profila. Njihove taktike, tehnike i procedure (TTP) dobro su dokumentirane i uključuju korištenje alata za daljinski pristup za infiltraciju i opstanak unutar ciljanih mreža.

Ovaj nedavni incident nije prvi put da je TeamViewer meta kibernetičkih kriminalaca. Godine 2019. TeamViewer je otkrio da ga je 2016. hakiran od strane prijetnje za koju se vjeruje da djeluje iz Kine. Tvrtka je odlučila ne otkriti kršenje odmah, navodeći nedostatak dokaza o utjecaju na kupce.

Kao odgovor na najnovije kršenje, TeamViewer je naglasio svoju predanost transparentnosti i nastavit će pružati ažuriranja kako istraga napreduje. Primarni fokus tvrtke ostaje na osiguravanju sigurnosti i integriteta njezinih sustava, čuvajući i korporativno i proizvodno okruženje.