러시아 APT29 해커 그룹이 최근 TeamViewer 악용 사이버 공격의 배후에 있을 수 있음

널리 사용되는 원격 연결 소프트웨어 제공업체인 TeamViewer는 기업 네트워크의 손상을 보고했으며 일부 소스는 이 공격이 러시아 APT(Advanced Persistant Threat) 그룹 에 의한 것으로 추정하고 있습니다. 6월 26일 TeamViewer의 보안 팀은 내부 기업 IT 환경에서 "불규칙성"을 확인했습니다. 회사는 이 환경이 제품 환경과 다르다는 점을 사용자에게 보증하여 고객 데이터가 영향을 받지 않음을 나타냅니다. 이러한 확신에도 불구하고 진행 중인 조사는 시스템의 무결성을 유지하는 것을 목표로 합니다.

TeamViewer 웹사이트의 성명에 따르면 현재 침해가 제품 환경이나 고객 데이터에 영향을 미쳤다는 증거는 없습니다. 그럼에도 불구하고 회사는 조사가 계속되면서 경계심을 늦추지 않고 있다. TeamViewer는 투명성을 약속했으며 더 많은 정보가 나오면 업데이트를 제공할 것입니다.

이 침해 사고는 소셜 미디어에서 주목을 끌었으며, Jeffrey라는 Mastodon 사용자는 NCC 그룹의 위협 인텔리전스 팀이 APT 그룹에 의한 TeamViewer 원격 액세스 및 지원 플랫폼의 "중요한 손상"에 대해 고객에게 통보했다고 보고했습니다. 또한 미국 소재 건강 정보 공유 및 분석 센터(Health-ISAC)는 해당 공격이 Cozy Bear 또는 Midnight Blizzard라고도 알려진 악명 높은 APT29 그룹 의 소행이라고 주장하는 신뢰할 수 있는 파트너의 정보를 인용하여 경보를 발령했습니다. 러시아 정부가 후원하는 이 그룹은 중요한 조직에 대해 강력한 사이버 공격을 실행하는 것으로 악명 높습니다.

Health-ISAC의 경고는 조직이 비정상적인 원격 데스크톱 트래픽에 대한 로그를 검토하고 위협 행위자가 원격 액세스 도구를 사용하여 관찰되었음을 지적할 것을 권장했습니다. 조직에서는 이러한 위협을 탐지하고 완화하는 데 있어서 경계심의 중요성을 강조했습니다.

APT29는 오랫동안 정부 및 기타 유명 기관을 표적으로 삼아 사이버 스파이 활동을 해왔습니다. 그들의 전술, 기술 및 절차(TTP)는 잘 문서화되어 있으며 원격 액세스 도구를 활용하여 대상 네트워크에 침투하고 유지하는 것을 포함합니다.

TeamViewer가 사이버 범죄자의 표적이 된 것은 이번 사건이 처음이 아닙니다. 2019년 TeamViewer는 2016년 중국에서 활동하는 것으로 추정되는 위협 행위자에 의해 해킹당했다고 밝혔습니다. 회사는 고객에게 영향을 미쳤다는 증거가 부족하다는 이유로 침해 사실을 즉시 공개하지 않기로 결정했습니다.

최신 위반에 대응하여 TeamViewer는 투명성에 대한 약속을 강조했으며 조사가 진행됨에 따라 계속 업데이트를 제공할 것입니다. 회사의 주요 초점은 시스템의 보안과 무결성을 보장하고 회사와 제품 환경을 모두 보호하는 것입니다.