Російська хакерська група APT29 може стояти за недавньою кібератакою TeamViewer

TeamViewer, широко використовуваний постачальник програмного забезпечення для віддаленого підключення, повідомив про компрометацію своєї корпоративної мережі, причому деякі джерела приписують атаку російської групі Advanced Persistent Threat (APT) . 26 червня команда безпеки TeamViewer виявила «порушення» у внутрішньому корпоративному ІТ-середовищі. Компанія запевнила користувачів, що це середовище відрізняється від середовища продукту, таким чином вказуючи, що дані клієнтів залишаються незмінними. Незважаючи на ці запевнення, розслідування, що триває, спрямоване на підтримку цілісності їхніх систем.

Відповідно до заяви на веб-сайті TeamViewer, наразі немає доказів того, що злом вплинув на середовище продукту або дані клієнтів. Тим не менш, компанія залишається пильною, оскільки розслідування триває. TeamViewer пообіцяв прозорість і надаватиме оновлення, коли стане доступною додаткова інформація.

Порушення привернуло увагу в соціальних мережах: користувач Mastodon на ім’я Джеффрі повідомив, що команда аналізу загроз NCC Group сповіщала своїх клієнтів про «значну компрометацію» платформи віддаленого доступу та підтримки TeamViewer групою APT. Крім того, американський Центр обміну та аналізу інформації про здоров’я (Health-ISAC) опублікував попередження, посилаючись на дані довіреного партнера, які приписують атаку сумнозвісній групі APT29 , також відомій як Cozy Bear або Midnight Blizzard. Ця російська державна група сумно відома тим, що здійснює потужні кібератаки на важливі організації.

Попередження Health-ISAC рекомендувало організаціям переглядати свої журнали на наявність будь-якого незвичайного трафіку віддаленого робочого столу, зазначивши, що загрози були виявлені за допомогою інструментів віддаленого доступу. Організація підкреслила важливість пильності у виявленні та пом’якшенні таких загроз.

APT29 має довгу історію кібершпигунства, часто націленого на урядові та інші високопоставлені організації. Їхні тактики, методи та процедури (TTP) добре задокументовані та включають використання інструментів віддаленого доступу для проникнення та збереження в цільових мережах.

Цей недавній інцидент — не перший випадок, коли TeamViewer стає мішенню кіберзлочинців. У 2019 році TeamViewer оприлюднив інформацію про те, що в 2016 році його зламав зловмисник, який, імовірно, працює з Китаю. Компанія вирішила не розголошувати про порушення негайно, посилаючись на відсутність доказів впливу на клієнтів.

У відповідь на останнє порушення TeamViewer підкреслив свою відданість прозорості та продовжить надавати оновлення в міру просування розслідування. Основна увага компанії залишається на забезпеченні безпеки та цілісності її систем, охороні як корпоративного, так і продуктового середовища.