Russische APT29-hackergroep zit mogelijk achter recente TeamViewer-exploitatie-cyberaanval
TeamViewer, een veelgebruikte softwareleverancier voor externe connectiviteit, heeft melding gemaakt van een compromittering in zijn bedrijfsnetwerk, waarbij sommige bronnen de aanval toeschrijven aan een Russische Advanced Persistent Threat (APT)-groep . Op 26 juni identificeerde het beveiligingsteam van TeamViewer een "onregelmatigheid" binnen de interne bedrijfs-IT-omgeving. Het bedrijf verzekerde gebruikers dat deze omgeving zich onderscheidt van de productomgeving, wat aangeeft dat klantgegevens onaangetast blijven. Ondanks deze geruststelling is het lopende onderzoek erop gericht de integriteit van hun systemen te handhaven.
Volgens een verklaring op de website van TeamViewer is er momenteel geen bewijs dat erop wijst dat de inbreuk gevolgen heeft gehad voor de productomgeving of klantgegevens. Niettemin blijft het bedrijf waakzaam terwijl het onderzoek voortduurt. TeamViewer heeft transparantie beloofd en zal updates geven zodra er meer informatie beschikbaar komt.
De inbreuk heeft de aandacht getrokken op sociale media, waarbij een Mastodon-gebruiker genaamd Jeffrey meldde dat het dreigingsinformatieteam van NCC Group hun klanten op de hoogte heeft gesteld van een "significant compromis" van het TeamViewer-platform voor externe toegang en ondersteuning door een APT-groep. Bovendien heeft het in de VS gevestigde Health Information Sharing and Analysis Center (Health-ISAC) een waarschuwing afgegeven, onder verwijzing naar informatie van een vertrouwde partner die de aanval toeschrijft aan de beruchte APT29-groep , ook wel bekend als Cosy Bear of Midnight Blizzard. Deze door de Russische staat gesponsorde groep is berucht vanwege het uitvoeren van cyberaanvallen met grote impact op belangrijke organisaties.
In de waarschuwing van Health-ISAC wordt organisaties aanbevolen hun logboeken te controleren op ongewoon extern desktopverkeer, waarbij wordt opgemerkt dat bedreigingsactoren zijn geobserveerd met behulp van tools voor externe toegang. De organisatie benadrukte het belang van waakzaamheid bij het opsporen en beperken van dergelijke bedreigingen.
APT29 heeft een lange geschiedenis van cyberspionage, waarbij het zich vaak richt op overheids- en andere spraakmakende entiteiten. Hun tactieken, technieken en procedures (TTP's) zijn goed gedocumenteerd en omvatten onder meer het gebruik van tools voor externe toegang om te infiltreren en te blijven bestaan binnen doelnetwerken.
Dit recente incident is niet de eerste keer dat TeamViewer het doelwit is van cybercriminelen. In 2019 maakte TeamViewer bekend dat het in 2016 was gehackt door een bedreigingsacteur die vermoedelijk vanuit China opereerde. Het bedrijf koos ervoor om de inbreuk niet onmiddellijk bekend te maken, omdat er geen bewijs was van de impact op klanten.
Als reactie op de laatste inbreuk heeft TeamViewer zijn toewijding aan transparantie benadrukt en zal het updates blijven geven naarmate het onderzoek vordert. De primaire focus van het bedrijf blijft het waarborgen van de veiligheid en integriteit van zijn systemen, waarbij zowel de bedrijfs- als de productomgeving wordt beschermd.