Ryska APT29 Hacker Group kan ligga bakom den senaste cyberattacken för utnyttjande av TeamViewer

TeamViewer, en flitigt använd mjukvaruleverantör för fjärranslutningar, har rapporterat en kompromiss i sitt företagsnätverk, med vissa källor som tillskriver attacken till en rysk grupp av avancerad persistent hot (APT) . Den 26 juni identifierade TeamViewers säkerhetsteam en "oegentlighet" inom företagets interna IT-miljö. Företaget försäkrade användarna att denna miljö skiljer sig från produktmiljön, vilket indikerar att kunddata förblir opåverkade. Trots denna försäkran syftar den pågående utredningen till att upprätthålla integriteten hos deras system.

Enligt ett uttalande på TeamViewers hemsida finns det för närvarande inga bevis som tyder på att intrånget har påverkat produktmiljön eller kunddata. Trots det är företaget fortfarande vaksamt medan utredningarna fortsätter. TeamViewer har lovat transparens och kommer att tillhandahålla uppdateringar när mer information blir tillgänglig.

Intrånget har väckt uppmärksamhet på sociala medier, med en Mastodon-användare vid namn Jeffrey som rapporterar att NCC Groups team för hotintelligens har underrättat sina kunder om en "betydande kompromiss" av TeamViewers fjärråtkomst och supportplattform av en APT-grupp. Dessutom har det USA-baserade Health Information Sharing and Analysis Center (Health-ISAC) utfärdat en varning, med hänvisning till underrättelser från en pålitlig partner som tillskriver attacken till den ökända gruppen APT29 , även känd som Cozy Bear eller Midnight Blizzard. Denna ryska statssponsrade grupp är ökänd för att ha utfört kraftiga cyberattacker mot betydande organisationer.

Health-ISAC:s varning rekommenderade att organisationer granskar sina loggar för ovanlig fjärrskrivbordstrafik, och noterar att hotaktörer har observerats med hjälp av fjärråtkomstverktyg. Organisationen betonade vikten av vaksamhet för att upptäcka och mildra sådana hot.

APT29 har en lång historia av cyberspionage, ofta riktad mot statliga och andra högprofilerade enheter. Deras taktik, tekniker och procedurer (TTP) är väldokumenterade och inkluderar utnyttjande av fjärråtkomstverktyg för att infiltrera och bestå inom målnätverk.

Den här senaste incidenten är inte första gången TeamViewer har blivit måltavla av cyberbrottslingar. 2019 avslöjade TeamViewer att det hade blivit hackat 2016 av en hotaktör som tros vara verksam från Kina. Företaget valde att inte avslöja intrånget omedelbart, med hänvisning till bristande bevis för påverkan på kunder.

Som svar på det senaste intrånget har TeamViewer betonat sitt engagemang för transparens och kommer att fortsätta att tillhandahålla uppdateringar allt eftersom utredningen fortskrider. Företagets primära fokus är fortfarande på att säkerställa säkerheten och integriteten för sina system, att skydda både företags- och produktmiljöer.