Nhóm hacker APT29 của Nga có thể đứng sau vụ tấn công mạng khai thác TeamViewer gần đây

TeamViewer, một nhà cung cấp phần mềm kết nối từ xa được sử dụng rộng rãi, đã báo cáo một sự xâm phạm trong mạng công ty của mình, với một số nguồn tin cho rằng cuộc tấn công là do nhóm Đe dọa liên tục nâng cao (APT) của Nga. Vào ngày 26 tháng 6, nhóm bảo mật của TeamViewer đã xác định được "sự bất thường" trong môi trường CNTT nội bộ của công ty. Công ty đảm bảo với người dùng rằng môi trường này khác biệt với môi trường sản phẩm, do đó cho thấy rằng dữ liệu khách hàng vẫn không bị ảnh hưởng. Bất chấp sự trấn an này, cuộc điều tra đang diễn ra nhằm mục đích duy trì tính toàn vẹn của hệ thống của họ.

Theo một tuyên bố trên trang web của TeamViewer, hiện tại không có bằng chứng nào cho thấy hành vi vi phạm đã ảnh hưởng đến môi trường sản phẩm hoặc dữ liệu khách hàng. Tuy nhiên, công ty vẫn cảnh giác khi các cuộc điều tra vẫn tiếp tục. TeamViewer đã cam kết tính minh bạch và sẽ cung cấp thông tin cập nhật khi có thêm thông tin.

Vụ vi phạm đã thu hút sự chú ý trên mạng xã hội, trong đó một người dùng Mastodon tên là Jeffrey báo cáo rằng nhóm tình báo mối đe dọa của Tập đoàn NCC đã thông báo cho khách hàng của họ về một “sự xâm phạm đáng kể” đối với nền tảng hỗ trợ và truy cập từ xa TeamViewer của một nhóm APT. Hơn nữa, Trung tâm Phân tích và Chia sẻ Thông tin Y tế (Health-ISAC) có trụ sở tại Hoa Kỳ đã đưa ra cảnh báo, trích dẫn thông tin tình báo từ một đối tác đáng tin cậy cho rằng cuộc tấn công là do nhóm APT29 khét tiếng, còn được gọi là Cosy Bear hay Midnight Blizzard. Nhóm được nhà nước Nga bảo trợ này nổi tiếng với việc thực hiện các cuộc tấn công mạng có tác động lớn nhằm vào các tổ chức quan trọng.

Cảnh báo của Health-ISAC khuyến nghị các tổ chức nên xem lại nhật ký của họ để phát hiện bất kỳ lưu lượng truy cập máy tính từ xa bất thường nào, đồng thời lưu ý rằng các tác nhân đe dọa đã được quan sát bằng cách sử dụng các công cụ truy cập từ xa. Tổ chức nhấn mạnh tầm quan trọng của việc cảnh giác trong việc phát hiện và giảm thiểu các mối đe dọa như vậy.

APT29 có lịch sử hoạt động gián điệp mạng lâu đời, thường nhắm vào các tổ chức chính phủ và tổ chức cấp cao khác. Các chiến thuật, kỹ thuật và quy trình (TTP) của chúng được ghi chép đầy đủ và bao gồm việc tận dụng các công cụ truy cập từ xa để xâm nhập và tồn tại trong các mạng mục tiêu.

Sự cố gần đây này không phải là lần đầu tiên TeamViewer trở thành mục tiêu của tội phạm mạng. Vào năm 2019, TeamViewer tiết lộ rằng nó đã bị tấn công vào năm 2016 bởi một kẻ đe dọa được cho là hoạt động từ Trung Quốc. Công ty đã quyết định không tiết lộ hành vi vi phạm ngay lập tức với lý do thiếu bằng chứng về tác động đối với khách hàng.

Để đối phó với vi phạm mới nhất, TeamViewer đã nhấn mạnh cam kết của mình về tính minh bạch và sẽ tiếp tục cung cấp thông tin cập nhật khi cuộc điều tra tiến triển. Trọng tâm chính của công ty vẫn là đảm bảo tính bảo mật và tính toàn vẹn của hệ thống, bảo vệ cả môi trường doanh nghiệp và sản phẩm.