Rusijos APT29 įsilaužėlių grupė gali atsilikti nuo naujausios „TeamViewer“ išnaudojimo kibernetinės atakos

TeamViewer, plačiai naudojama nuotolinio ryšio programinės įrangos tiekėja, pranešė apie kompromisą savo įmonės tinkle, o kai kurie šaltiniai priskyrė ataką Rusijos išplėstinės nuolatinės grėsmės (APT) grupei . Birželio 26 d. „TeamViewer“ saugos komanda nustatė „nereguliarumą“ jos vidinėje įmonės IT aplinkoje. Bendrovė patikino vartotojus, kad ši aplinka skiriasi nuo produkto aplinkos, taip nurodydama, kad klientų duomenys lieka nepakitę. Nepaisant šio patikinimo, vykdomu tyrimu siekiama išlaikyti jų sistemų vientisumą.

Remiantis pareiškimu TeamViewer svetainėje, šiuo metu nėra jokių įrodymų, kad pažeidimas turėjo įtakos produkto aplinkai ar klientų duomenims. Nepaisant to, bendrovė išlieka budri, nes tęsiasi tyrimai. „TeamViewer“ pažadėjo skaidrumą ir pateiks atnaujinimus, kai bus gauta daugiau informacijos.

Pažeidimas sulaukė dėmesio socialinėje žiniasklaidoje, o „Mastodon“ vartotojas, vardu Jeffrey, pranešė, kad „NCC Group“ grėsmių žvalgybos komanda pranešė savo klientams apie „reikšmingą kompromisą“ dėl APT grupės „TeamViewer“ nuotolinės prieigos ir palaikymo platformos. Be to, JAV įsikūręs Sveikatos informacijos dalijimosi ir analizės centras (Health-ISAC) paskelbė įspėjimą, remdamasis patikimo partnerio žvalgybos duomenimis, kurie ataką priskiria liūdnai pagarsėjusiai APT29 grupei , dar vadinamai Cozy Bear arba Midnight Blizzard. Ši Rusijos valstybės remiama grupė yra liūdnai pagarsėjusi tuo, kad vykdo didelio poveikio kibernetines atakas prieš svarbias organizacijas.

„Health-ISAC“ įspėjimas rekomendavo organizacijoms peržiūrėti savo žurnalus, ar nėra neįprasto nuotolinio darbalaukio srauto, atkreipiant dėmesį į tai, kad grėsmės veikėjai buvo pastebėti naudojant nuotolinės prieigos įrankius. Organizacija pabrėžė budrumo svarbą nustatant ir sušvelninant tokias grėsmes.

APT29 turi ilgą kibernetinio šnipinėjimo istoriją, dažnai nusitaikydamas į vyriausybinius ir kitus aukšto lygio subjektus. Jų taktika, metodai ir procedūros (TTP) yra gerai dokumentuoti ir apima nuotolinės prieigos įrankių panaudojimą, siekiant įsiskverbti į tikslinius tinklus ir išlikti juose.

Šis neseniai įvykęs incidentas nėra pirmas kartas, kai „TeamViewer“ yra kibernetinių nusikaltėlių taikinys. 2019 m. „TeamViewer“ atskleidė, kad 2016 m. į ją įsilaužė grėsmės veikėjas, kuris, kaip manoma, veikė iš Kinijos. Bendrovė nusprendė neatskleisti pažeidimo iš karto, motyvuodama tuo, kad trūksta įrodymų apie poveikį klientams.

Reaguodama į naujausią pažeidimą, „TeamViewer“ pabrėžė savo įsipareigojimą siekti skaidrumo ir toliau teiks atnaujinimus, kai tyrimas vyks. Pagrindinis įmonės dėmesys tebėra savo sistemų saugumo ir vientisumo užtikrinimas, tiek įmonės, tiek produktų aplinkos apsauga.