Krievijas APT29 hakeru grupa var būt aiz nesenā TeamViewer ekspluatācijas kiberuzbrukuma

TeamViewer, plaši izmantots attālās savienojamības programmatūras nodrošinātājs, ir ziņojis par kompromisu savā korporatīvajā tīklā, un daži avoti šo uzbrukumu attiecina uz Krievijas uzlaboto pastāvīgo draudu (APT) grupu . 26. jūnijā TeamViewer drošības komanda konstatēja "pārkāpumu" tās iekšējā korporatīvajā IT vidē. Uzņēmums lietotājiem apliecināja, ka šī vide atšķiras no produkta vides, tādējādi norādot, ka klientu dati paliek neskarti. Neskatoties uz šo pārliecību, notiekošās izmeklēšanas mērķis ir nodrošināt viņu sistēmu integritāti.

Saskaņā ar paziņojumu TeamViewer vietnē pašlaik nav pierādījumu, kas liecinātu, ka pārkāpums būtu ietekmējis produkta vidi vai klientu datus. Tomēr uzņēmums joprojām ir modrs, jo turpinās izmeklēšana. TeamViewer ir apņēmies nodrošināt pārredzamību un sniegs atjauninājumus, tiklīdz būs pieejama vairāk informācijas.

Pārkāpums ir izpelnījies uzmanību sociālajos medijos, Mastodon lietotājam Džefrijs ziņojot, ka NCC Group draudu izlūkošanas komanda ir informējusi savus klientus par TeamViewer attālās piekļuves un atbalsta platformas "nozīmīgo kompromisu", ko veikusi APT grupa. Turklāt ASV bāzētais Veselības informācijas apmaiņas un analīzes centrs (Health-ISAC) ir izdevis brīdinājumu, atsaucoties uz uzticama partnera izlūkdatiem, kas uzbrukumu attiecina uz bēdīgi slaveno APT29 grupu , kas pazīstama arī kā Cozy Bear vai Midnight Blizzard. Šī Krievijas valsts sponsorētā grupa ir bēdīgi slavena ar spēcīgas ietekmes kiberuzbrukumiem pret nozīmīgām organizācijām.

Health-ISAC brīdinājumā organizācijām tika ieteikts pārskatīt savus žurnālus, lai noteiktu neparastu attālās darbvirsmas trafiku, norādot, ka apdraudējuma dalībnieki ir novēroti, izmantojot attālās piekļuves rīkus. Organizācija uzsvēra modrības nozīmi šādu draudu atklāšanā un mazināšanā.

APT29 ir sena kiberspiegošanas vēsture, kas bieži vien ir vērsta uz valdības un citām augsta līmeņa struktūrām. Viņu taktika, paņēmieni un procedūras (TTP) ir labi dokumentētas un ietver attālās piekļuves rīku izmantošanu, lai iefiltrētos mērķa tīklos un saglabātos tajos.

Šis nesenais incidents nav pirmā reize, kad TeamViewer ir kibernoziedznieku mērķis. 2019. gadā TeamViewer atklāja, ka to 2016. gadā uzlauzis draudu izpildītājs, kurš, domājams, darbojas no Ķīnas. Uzņēmums izvēlējās nekavējoties neizpaust pārkāpumu, atsaucoties uz pierādījumu trūkumu par ietekmi uz klientiem.

Reaģējot uz pēdējo pārkāpumu, TeamViewer ir uzsvēris savu apņemšanos nodrošināt pārredzamību un turpinās sniegt atjauninājumus izmeklēšanas gaitā. Uzņēmuma galvenā uzmanība joprojām ir vērsta uz savu sistēmu drošības un integritātes nodrošināšanu, aizsargājot gan uzņēmuma, gan produktu vidi.