Russiske APT29 Hacker Group kan stå bak nylige TeamViewer-utnyttelsescyberangrep

TeamViewer, en mye brukt programvareleverandør for ekstern tilkobling, har rapportert et kompromiss i bedriftsnettverket, med noen kilder som tilskrev angrepet til en russisk Advanced Persistent Threat (APT)-gruppe . Den 26. juni identifiserte TeamViewers sikkerhetsteam en "uregelmessighet" i det interne IT-miljøet. Selskapet forsikret brukerne om at dette miljøet er forskjellig fra produktmiljøet, og indikerer dermed at kundedata forblir upåvirket. Til tross for denne forsikringen, har den pågående etterforskningen som mål å opprettholde integriteten til systemene deres.

I følge en uttalelse på TeamViewers nettsted er det foreløpig ingen bevis som tyder på at bruddet har påvirket produktmiljøet eller kundedata. Likevel er selskapet fortsatt årvåkent mens etterforskningen fortsetter. TeamViewer har lovet åpenhet og vil gi oppdateringer etter hvert som mer informasjon blir tilgjengelig.

Bruddet har vakt oppmerksomhet på sosiale medier, med en Mastodon-bruker ved navn Jeffrey som rapporterte at NCC Groups trusseletterretningsteam har varslet sine kunder om et "betydelig kompromiss" av TeamViewer fjerntilgang og støtteplattform av en APT-gruppe. Videre har det USA-baserte Health Information Sharing and Analysis Center (Health-ISAC) sendt ut et varsel, med henvisning til etterretninger fra en pålitelig partner som tilskriver angrepet den beryktede APT29-gruppen , også kjent som Cozy Bear eller Midnight Blizzard. Denne russiske statsstøttede gruppen er beryktet for å utføre kraftige nettangrep mot betydelige organisasjoner.

Health-ISACs varsling anbefalte organisasjoner å gjennomgå loggene sine for uvanlig eksternt skrivebordstrafikk, og la merke til at trusselaktører har blitt observert ved bruk av fjerntilgangsverktøy. Organisasjonen fremhevet viktigheten av årvåkenhet for å oppdage og dempe slike trusler.

APT29 har en lang historie med nettspionasje, ofte rettet mot statlige og andre høyprofilerte enheter. Deres taktikk, teknikker og prosedyrer (TTP) er godt dokumentert og inkluderer bruk av fjerntilgangsverktøy for å infiltrere og vedvare i målnettverk.

Denne nylige hendelsen er ikke første gang TeamViewer har blitt målrettet av nettkriminelle. I 2019 avslørte TeamViewer at den hadde blitt hacket i 2016 av en trusselaktør som antas å operere fra Kina. Selskapet valgte å ikke avsløre bruddet umiddelbart, med henvisning til mangel på bevis for innvirkning på kunder.

Som svar på det siste bruddet har TeamViewer understreket sin forpliktelse til åpenhet og vil fortsette å gi oppdateringer etter hvert som etterforskningen skrider frem. Selskapets primære fokus er fortsatt på å sikre sikkerheten og integriteten til systemene, og ivareta både bedrifts- og produktmiljøene.