Az orosz APT29 hackercsoport állhat a TeamViewer legutóbbi kibertámadása mögött

A TeamViewer, egy széles körben használt távoli kapcsolódási szoftverszolgáltató kompromisszumról számolt be vállalati hálózatában, és egyes források egy orosz Advanced Persistent Threat (APT) csoportnak tulajdonítják a támadást. Június 26-án a TeamViewer biztonsági csapata „szabálytalanságot” észlelt belső vállalati informatikai környezetében. A vállalat biztosította a felhasználókat arról, hogy ez a környezet különbözik a termékkörnyezettől, így jelezve, hogy az ügyfelek adatai változatlanok maradnak. E megnyugtatás ellenére a folyamatban lévő vizsgálat célja a rendszereik integritásának megőrzése.

A TeamViewer honlapján megjelent közlemény szerint jelenleg nincs bizonyíték arra, hogy a jogsértés hatással lett volna a termékkörnyezetre vagy az ügyfelek adataira. Ennek ellenére a cég továbbra is éber a vizsgálatok folytatásával. A TeamViewer megígérte az átláthatóságot, és amint további információ válik elérhetővé, frissítésekkel fog szolgálni.

Az incidens felkeltette a figyelmet a közösségi médiában, és egy Jeffrey nevű Mastodon-felhasználó arról számolt be, hogy az NCC Group fenyegetés-felderítő csapata értesítette ügyfeleit a TeamViewer távoli hozzáférési és támogatási platform egy APT csoport általi "jelentős kompromisszumáról". Ezenkívül az egyesült államokbeli székhelyű Egészségügyi Információmegosztó és Elemző Központ (Health-ISAC) riasztást adott ki egy megbízható partnertől származó hírszerzésre hivatkozva, amely a hírhedt APT29 csoportnak tulajdonítja a támadást, más néven Cozy Bear vagy Midnight Blizzard. Ez az orosz állam által támogatott csoport hírhedt arról, hogy jelentős szervezetek elleni nagy hatású kibertámadásokat hajt végre.

A Health-ISAC figyelmeztetése azt javasolta a szervezeteknek, hogy nézzék át naplóikat a szokatlan távoli asztali forgalom szempontjából, megjegyezve, hogy a fenyegetés szereplőit távoli elérési eszközök használatával figyelték meg. A szervezet kiemelte az éberség fontosságát az ilyen fenyegetések észlelésében és mérséklésében.

Az APT29 hosszú múltra tekint vissza a kiberkémkedés terén, gyakran kormányzati és más nagy horderejű szervezeteket céloz meg. Taktikáik, technikáik és eljárásaik (TTP-k) jól dokumentáltak, és magukban foglalják a távoli elérési eszközök kihasználását a célhálózatokba való beszivárgás és az azokon belüli fennmaradás érdekében.

Ez a közelmúltbeli incidens nem az első alkalom, hogy a TeamViewer kiberbűnözők célpontja. 2019-ben a TeamViewer nyilvánosságra hozta, hogy 2016-ban feltörte egy fenyegetést jelentő szereplő, akiről azt feltételezik, hogy Kínából tevékenykedett. A vállalat úgy döntött, hogy nem hozza azonnal nyilvánosságra a jogsértést, arra hivatkozva, hogy nem bizonyított az ügyfelekre gyakorolt hatás.

A legutóbbi jogsértésre reagálva a TeamViewer hangsúlyozta az átláthatóság iránti elkötelezettségét, és a vizsgálat előrehaladtával továbbra is frissíteni fog. A vállalat elsődleges célja továbbra is a rendszerei biztonságának és integritásának biztosítása, mind a vállalati, mind a termékkörnyezetek védelme.