Dietro il recente attacco informatico di sfruttamento di TeamViewer potrebbe esserci un gruppo di hacker russi APT29

TeamViewer, un fornitore di software di connettività remota ampiamente utilizzato, ha segnalato una compromissione nella sua rete aziendale, con alcune fonti che attribuiscono l'attacco a un gruppo russo Advanced Persistent Threat (APT) . Il 26 giugno, il team di sicurezza di TeamViewer ha identificato una "irregolarità" all'interno del proprio ambiente IT aziendale interno. L'azienda ha assicurato agli utenti che questo ambiente è distinto dall'ambiente del prodotto, indicando così che i dati dei clienti rimangono inalterati. Nonostante questa rassicurazione, l’indagine in corso mira a preservare l’integrità dei loro sistemi.

Secondo una dichiarazione pubblicata sul sito Web di TeamViewer, al momento non vi sono prove che suggeriscano che la violazione abbia avuto un impatto sull'ambiente del prodotto o sui dati dei clienti. L’azienda resta comunque vigile mentre le indagini continuano. TeamViewer ha promesso trasparenza e fornirà aggiornamenti non appena saranno disponibili ulteriori informazioni.

La violazione ha attirato l'attenzione sui social media, con un utente Mastodon di nome Jeffrey che ha riferito che il team di intelligence sulle minacce del gruppo NCC ha informato i propri clienti di un "compromesso significativo" della piattaforma di accesso remoto e supporto TeamViewer da parte di un gruppo APT. Inoltre, il Centro di condivisione e analisi delle informazioni sanitarie (Health-ISAC) con sede negli Stati Uniti ha emesso un avviso, citando l'intelligence di un partner fidato che attribuisce l'attacco al famigerato gruppo APT29 , noto anche come Cozy Bear o Midnight Blizzard. Questo gruppo sponsorizzato dallo stato russo è noto per aver eseguito attacchi informatici ad alto impatto contro organizzazioni importanti.

L'avviso di Health-ISAC raccomanda alle organizzazioni di rivedere i propri registri per rilevare qualsiasi traffico insolito sui desktop remoti, rilevando che gli autori delle minacce sono stati osservati utilizzando strumenti di accesso remoto. L’organizzazione ha sottolineato l’importanza della vigilanza nel rilevare e mitigare tali minacce.

APT29 ha una lunga storia di spionaggio informatico, spesso prendendo di mira entità governative e altri enti di alto profilo. Le loro tattiche, tecniche e procedure (TTP) sono ben documentate e includono l'utilizzo di strumenti di accesso remoto per infiltrarsi e persistere all'interno delle reti prese di mira.

Questo recente incidente non è la prima volta che TeamViewer viene preso di mira dai criminali informatici. Nel 2019, TeamViewer ha rivelato di essere stato violato nel 2016 da un attore di minacce che si ritiene operasse dalla Cina. La società ha scelto di non rendere nota immediatamente la violazione, citando la mancanza di prove dell’impatto sui clienti.

In risposta all’ultima violazione, TeamViewer ha sottolineato il proprio impegno per la trasparenza e continuerà a fornire aggiornamenti man mano che l’indagine procede. L'obiettivo principale dell'azienda rimane quello di garantire la sicurezza e l'integrità dei propri sistemi, salvaguardando sia l'ambiente aziendale che quello dei prodotti.