Ang Russian APT29 Hacker Group ay Maaaring Nasa Likod ng Kamakailang TeamViewer Exploitation Cyberattack
Ang TeamViewer, isang malawakang ginagamit na remote connectivity software provider, ay nag-ulat ng kompromiso sa corporate network nito, na may ilang source na nag-uugnay sa pag-atake sa isang Russian Advanced Persistent Threat (APT) group . Noong Hunyo 26, natukoy ng team ng seguridad ng TeamViewer ang isang "irregularity" sa loob ng internal corporate IT environment nito. Tiniyak ng kumpanya sa mga user na ang environment na ito ay naiiba sa environment ng produkto, kaya nagpapahiwatig na ang data ng customer ay nananatiling hindi naaapektuhan. Sa kabila ng katiyakang ito, ang patuloy na pagsisiyasat ay naglalayong itaguyod ang integridad ng kanilang mga sistema.
Ayon sa isang pahayag sa website ng TeamViewer, kasalukuyang walang ebidensya na nagmumungkahi na ang paglabag ay nakaapekto sa kapaligiran ng produkto o data ng customer. Gayunpaman, ang kumpanya ay nananatiling mapagbantay habang nagpapatuloy ang mga pagsisiyasat. Nangako ang TeamViewer ng transparency at magbibigay ng mga update kapag mas maraming impormasyon ang nagiging available.
Ang paglabag ay nakakuha ng atensyon sa social media, kung saan ang isang Mastodon user na nagngangalang Jeffrey ay nag-ulat na ang threat intelligence team ng NCC Group ay nag-aabiso sa kanilang mga customer tungkol sa isang "makabuluhang kompromiso" ng TeamViewer remote access at support platform ng isang APT group. Higit pa rito, ang Health Information Sharing and Analysis Center (Health-ISAC) na nakabase sa US ay naglabas ng alerto, na binabanggit ang katalinuhan mula sa isang pinagkakatiwalaang partner na nag-attribute sa pag-atake sa kilalang APT29 group , na kilala rin bilang Cozy Bear o Midnight Blizzard. Ang grupong ito na itinataguyod ng estado ng Russia ay sikat sa pagsasagawa ng mga cyberattack na may mataas na epekto laban sa mga makabuluhang organisasyon.
Inirerekomenda ng alerto ng Health-ISAC na suriin ng mga organisasyon ang kanilang mga log para sa anumang hindi pangkaraniwang remote na trapiko sa desktop, na binabanggit na ang mga aktor ng pagbabanta ay naobserbahan gamit ang mga remote access tool. Binigyang-diin ng organisasyon ang kahalagahan ng pagbabantay sa pagtuklas at pagpapagaan ng mga naturang banta.
Ang APT29 ay may mahabang kasaysayan ng cyber-espionage, kadalasang nagta-target sa pamahalaan at iba pang mga entity na may mataas na profile. Ang kanilang mga taktika, pamamaraan, at pamamaraan (TTP) ay mahusay na dokumentado at kasama ang paggamit ng mga remote access tool upang makalusot at magpatuloy sa loob ng mga target na network.
Ang kamakailang insidente na ito ay hindi ang unang pagkakataon na ang TeamViewer ay na-target ng mga cybercriminal. Noong 2019, isiniwalat ng TeamViewer na na-hack ito noong 2016 ng isang threat actor na pinaniniwalaang nag-o-operate mula sa China. Pinili ng kumpanya na huwag ibunyag kaagad ang paglabag, na binabanggit ang kakulangan ng katibayan ng epekto sa mga customer.
Bilang tugon sa pinakabagong paglabag, binigyang-diin ng TeamViewer ang pangako nito sa transparency at patuloy na magbibigay ng mga update habang umuusad ang imbestigasyon. Ang pangunahing pokus ng kumpanya ay nananatili sa pagtiyak ng seguridad at integridad ng mga sistema nito, na pinangangalagaan ang parehong kapaligiran ng kumpanya at produkto nito.