Российская хакерская группа APT29 может стоять за недавней кибератакой с использованием TeamViewer

TeamViewer, широко используемый поставщик программного обеспечения для удаленного подключения, сообщил о взломе в своей корпоративной сети, при этом некоторые источники приписывают атаку российской группе Advanced Persistent Threat (APT) . 26 июня команда безопасности TeamViewer обнаружила «нарушение» во внутренней корпоративной ИТ-среде. Компания заверила пользователей, что эта среда отличается от среды продукта, тем самым указав, что данные клиентов остаются неизменными. Несмотря на эти заверения, продолжающееся расследование направлено на поддержание целостности их систем.

Согласно заявлению на веб-сайте TeamViewer, в настоящее время нет никаких доказательств того, что нарушение повлияло на среду продукта или данные клиентов. Тем не менее, компания сохраняет бдительность, поскольку расследования продолжаются. TeamViewer пообещал прозрачность и будет предоставлять обновления по мере поступления дополнительной информации.

Нарушение привлекло внимание в социальных сетях: пользователь Mastodon по имени Джеффри сообщил, что группа по анализу угроз NCC Group уведомляет своих клиентов о «значительной компрометации» платформы удаленного доступа и поддержки TeamViewer группой APT. Кроме того, базирующийся в США Центр обмена и анализа медицинской информации (Health-ISAC) опубликовал предупреждение, ссылаясь на данные от доверенного партнера, который приписывает атаку пресловутой группе APT29 , также известной как Cozy Bear или Midnight Blizzard. Эта спонсируемая российским государством группировка печально известна своими масштабными кибератаками на важные организации.

В предупреждении Health-ISAC организациям рекомендуется проверять свои журналы на предмет любого необычного трафика удаленного рабочего стола, отмечая, что субъекты угроз были замечены с использованием инструментов удаленного доступа. Организация подчеркнула важность бдительности при обнаружении и смягчении таких угроз.

APT29 имеет долгую историю кибершпионажа, часто нацеленного на правительственные и другие высокопоставленные организации. Их тактика, методы и процедуры (TTP) хорошо документированы и включают в себя использование инструментов удаленного доступа для проникновения и сохранения в целевых сетях.

Этот недавний инцидент — не первый случай, когда TeamViewer становится целью киберпреступников. В 2019 году TeamViewer сообщил, что в 2016 году он был взломан злоумышленником, предположительно действовавшим из Китая. Компания предпочла не раскрывать информацию о нарушении немедленно, сославшись на отсутствие доказательств воздействия на клиентов.

В ответ на последнее нарушение TeamViewer подчеркнула свою приверженность прозрачности и продолжит предоставлять обновления по мере продвижения расследования. Основное внимание компании по-прежнему уделяется обеспечению безопасности и целостности своих систем, защите как корпоративной, так и продуктовой среды.