俄罗斯 APT29 黑客组织可能是近期 TeamViewer 网络攻击的幕后黑手

广泛使用的远程连接软件提供商 TeamViewer 报告其公司网络遭到入侵，一些消息来源将此次攻击归咎于俄罗斯高级持续性威胁 (APT) 组织。6 月 26 日，TeamViewer 的安全团队在其公司内部 IT 环境中发现了“异常”。该公司向用户保证，该环境与产品环境不同，因此表明客户数据不会受到影响。尽管如此，正在进行的调查旨在维护其系统的完整性。

TeamViewer 网站上的一份声明称，目前没有证据表明此次入侵影响了产品环境或客户数据。尽管如此，随着调查的继续，该公司仍保持警惕。TeamViewer 承诺保持透明度，并将在获得更多信息后提供更新。

此次入侵事件在社交媒体上引起了关注，一位名叫 Jeffrey 的 Mastodon 用户报告称，NCC Group 的威胁情报团队已通知其客户，TeamViewer 远程访问和支持平台遭到 APT 组织的“严重入侵”。此外，美国卫生信息共享与分析中心 (Health-ISAC) 也发出警告，援引来自可靠合作伙伴的情报，称此次攻击是臭名昭著的APT29 组织所为，该组织也被称为 Cozy Bear 或 Midnight Blizzard。这个俄罗斯政府支持的组织因对重要组织发动大规模网络攻击而臭名昭著。

Health-ISAC 的警报建议各组织检查其日志，以查找任何异常的远程桌面流量，并指出威胁行为者已观察到使用远程访问工具。该组织强调了在检测和减轻此类威胁方面保持警惕的重要性。

APT29 有着悠久的网络间谍活动历史，经常以政府和其他知名实体为目标。他们的策略、技术和程序 (TTP) 有据可查，包括利用远程访问工具渗透并驻留在目标网络中。

此次事件并非 TeamViewer 首次成为网络犯罪分子的攻击目标。2019 年，TeamViewer 披露其在 2016 年遭到一名据信来自中国的威胁行为者的攻击。该公司选择不立即披露此次入侵事件，理由是缺乏对客户造成影响的证据。

针对最新的泄密事件，TeamViewer 强调了其对透明度的承诺，并将在调查过程中继续提供最新信息。该公司的主要重点仍然是确保系统的安全性和完整性，保护其企业和产品环境。