Um Grupo Russo de Hackers, o APT29 pode estar por Trás do Recente Ataque Cibernético de Exploração do TeamViewer
O TeamViewer, um fornecedor de software de conectividade remota amplamente utilizado, relatou um comprometimento em sua rede corporativa, com algumas fontes atribuindo o ataque a um grupo russo de ameaças persistentes avançadas (APT). Em 26 de junho, a equipe de segurança do TeamViewer identificou uma “irregularidade” em seu ambiente interno de TI corporativo. A empresa garantiu aos usuários que este ambiente é distinto do ambiente do produto, indicando assim que os dados do cliente permanecem inalterados. Apesar desta garantia, a investigação em curso visa manter a integridade dos seus sistemas.
De acordo com um comunicado no site do TeamViewer, atualmente não há evidências que sugiram que a violação tenha impactado o ambiente do produto ou os dados do cliente. No entanto, a empresa permanece vigilante enquanto as investigações continuam. O TeamViewer prometeu transparência e fornecerá atualizações à medida que mais informações estiverem disponíveis.
A violação atraiu atenção nas redes sociais, com um usuário do Mastodon chamado Jeffrey relatando que a equipe de inteligência de ameaças do Grupo NCC tem notificado seus clientes sobre um “comprometimento significativo” da plataforma de acesso remoto e suporte TeamViewer por um grupo APT. Além disso, o Centro de Compartilhamento e Análise de Informações de Saúde (Health-ISAC), com sede nos EUA, emitiu um alerta, citando informações de um parceiro confiável que atribui o ataque ao notório grupo APT29, também conhecido como Cosy Bear ou Midnight Blizzard. Este grupo patrocinado pelo Estado russo é famoso por executar ataques cibernéticos de alto impacto contra organizações importantes.
O alerta da Health-ISAC recomendou que as organizações revisassem seus logs em busca de qualquer tráfego incomum de desktop remoto, observando que agentes de ameaças foram observados usando ferramentas de acesso remoto. A organização destacou a importância da vigilância na detecção e mitigação de tais ameaças.
APT29 tem uma longa história de espionagem cibernética, muitas vezes visando entidades governamentais e outras entidades de alto perfil. Suas táticas, técnicas e procedimentos (TTPs) são bem documentados e incluem o aproveitamento de ferramentas de acesso remoto para se infiltrar e persistir nas redes alvo.
Este incidente recente não é a primeira vez que o TeamViewer é alvo de cibercriminosos. Em 2019, o TeamViewer revelou que havia sido hackeado em 2016 por um agente de ameaça que supostamente operava na China. A empresa optou por não divulgar a violação imediatamente, alegando falta de evidências de impacto nos clientes.
Em resposta à última violação, a TeamViewer enfatizou seu compromisso com a transparência e continuará a fornecer atualizações à medida que a investigação avança. O foco principal da empresa continua sendo garantir a segurança e a integridade dos seus sistemas, protegendo tanto o ambiente corporativo quanto o de produtos.