Rosyjska grupa hakerska APT29 może stać za niedawnym cyberatakiem wykorzystującym TeamViewer

TeamViewer, szeroko stosowany dostawca oprogramowania do zdalnej łączności, zgłosił naruszenie bezpieczeństwa w swojej sieci korporacyjnej, a niektóre źródła przypisują atak rosyjskiej grupie Advanced Persistent Threat (APT) . 26 czerwca zespół ds. bezpieczeństwa TeamViewer zidentyfikował „nieprawidłowość” w wewnętrznym korporacyjnym środowisku informatycznym. Firma zapewniła użytkowników, że to środowisko różni się od środowiska produktu, wskazując w ten sposób, że dane klientów pozostają nienaruszone. Pomimo tych zapewnień trwające dochodzenie ma na celu utrzymanie integralności ich systemów.

Zgodnie z oświadczeniem zamieszczonym na stronie internetowej TeamViewer, obecnie nie ma dowodów sugerujących, że naruszenie miało wpływ na środowisko produktu lub dane klientów. Niemniej jednak firma pozostaje czujna w toku dochodzenia. TeamViewer zobowiązał się do przejrzystości i będzie dostarczał aktualizacje, gdy dostępnych będzie więcej informacji.

Naruszenie przykuło uwagę w mediach społecznościowych, a użytkownik Mastodon o imieniu Jeffrey poinformował, że zespół ds. analizy zagrożeń NCC Group powiadamiał swoich klientów o „znaczącym kompromisie” w sprawie platformy zdalnego dostępu i wsparcia TeamViewer przez grupę APT. Co więcej, amerykańskie Centrum Wymiany i Analiz Informacji Zdrowotnych (Health-ISAC) wydało ostrzeżenie, powołując się na informacje przekazane przez zaufanego partnera, który przypisuje atak okrytej złą sławą grupie APT29 , znanej również jako Cozy Bear lub Midnight Blizzard. Ta sponsorowana przez państwo rosyjska grupa słynie z przeprowadzania niezwykle skutecznych cyberataków przeciwko znaczącym organizacjom.

Alert organizacji Health-ISAC zalecał, aby organizacje przejrzały swoje dzienniki pod kątem nietypowego ruchu na komputerach zdalnych, zauważając, że podmioty zagrażające zaobserwowano przy użyciu narzędzi dostępu zdalnego. Organizacja podkreśliła znaczenie czujności w wykrywaniu i łagodzeniu takich zagrożeń.

APT29 ma długą historię cyberszpiegostwa, którego celem często są instytucje rządowe i inne znane podmioty. Ich taktyki, techniki i procedury (TTP) są dobrze udokumentowane i obejmują wykorzystanie narzędzi zdalnego dostępu do infiltracji i utrzymywania się w sieciach docelowych.

Ten niedawny incydent nie jest pierwszym razem, gdy TeamViewer stał się celem cyberprzestępców. W 2019 roku TeamViewer ujawnił, że w 2016 roku został zhakowany przez cyberprzestępcę, który prawdopodobnie działał z Chin. Firma zdecydowała się nie ujawniać natychmiast naruszenia, powołując się na brak dowodów na jego wpływ na klientów.

W odpowiedzi na najnowsze naruszenie TeamViewer podkreślił swoje zaangażowanie w przejrzystość i będzie nadal dostarczać aktualizacje w miarę postępu dochodzenia. Firma koncentruje się przede wszystkim na zapewnieniu bezpieczeństwa i integralności swoich systemów, chroniąc zarówno środowisko korporacyjne, jak i produktowe.