TeamViewer va revelar dijous que va detectar una «irregularitat» al seu entorn informàtic intern corporatiu el 26 de juny de 2024.

«Vam activar immediatament el nostre equip de resposta i els nostres procediments, vam iniciar investigacions juntament amb un equip d’experts en ciberseguretat de renom mundial i vam implementar les mesures de correcció necessàries», va dir l’empresa en un comunicat.

A més, va assenyalar que el seu entorn informàtic corporatiu està completament separat de l’entorn del producte i que no hi ha proves que indiquin que cap dada del client s’hagi vist afectada a conseqüència de l’incident.

No va revelar cap detall sobre qui podria haver estat darrere de la intrusió i com van poder aconseguir-ho, però va dir que hi ha una investigació en marxa i que proporcionarà actualitzacions d’estat a mesura que hi hagi nova informació disponible.

TeamViewer, amb seu a Alemanya, és el fabricant de programari de supervisió i gestió remota (RMM) que permet la gestió de proveïdors de serveis (MSP) i als departaments informàtics gestionar servidors, estacions de treball, dispositius de xarxa i punts finals. És utilitzat per més de 600.000 clients.

Curiosament, el Centre d’Anàlisi i Compartiment d’Informació Sanitària dels Estats Units (Health-ISAC) va emetre un butlletí sobre l’explotació activa de TeamViewer per part dels actors d’amenaça, segons l’Associació Americana d’Hospitals (AHA).

«S’ha observat que els actors de l’amenaça utilitzen eines d’accés remot», segons informa l’organització sense ànim de lucre. «S’ha observat que TeamViewer és explotat per actors d’amenaça associats amb APT29».

Actualment, no està clar en aquesta etapa si això vol dir que els atacants estan abusant de les deficiències de TeamViewer per infringir les xarxes dels clients, utilitzant pràctiques de seguretat pobres per infiltrar-se en objectius i desplegar el programari, o si han dut a terme un atac als sistemes propis de TeamViewer.

APT29, també anomenat BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard i The Dukes, és un actor d’amenaça patrocinat per l’estat afiliat al Servei d’Intel·ligència Exterior de Rússia (SVR). Recentment, s’ha relacionat amb les violacions de seguretat de Microsoft i Hewlett Packard Enterprise (HPE).

Des de llavors, Microsoft ha revelat que APT29 també va accedir a algunes bústies de correu electrònic dels clients després del pirateig que va sortir a la llum a principis d’aquest any, segons els informes de Bloomberg i Reuters.

«Aquesta setmana continuem amb les notificacions als clients que corresponen amb comptes de correu electrònic corporatius de Microsoft que van ser exfiltrats per l’actor d’amenaça Midnight Blizzard», va dir el gegant tecnològic a l’agència de notícies.

Atac atribuït oficialment a APT29

TeamViewer, en una actualització aquest divendres, va atribuir l’atac a APT29, afirmant que es va dirigir a les credencials associades a un compte d’empleat dins del seu entorn informàtic corporatiu.

«Basant-se en un seguiment continu de la seguretat, els nostres equips van identificar un comportament sospitós d’aquest compte i van posar immediatament en acció mesures de resposta a incidents», va assenyalar en un avís d’alerta revisada. «No hi ha proves que l’actor de l’amenaça hagi tingut accés al nostre entorn de producte o a les dades dels clients».

NCC Group, que va alertar per primera vegada de la violació de seguretat mitjançant una divulgació limitada a causa de l’ús generalitzat del programari, ha recomanat l’eliminació del programari «fins que es coneguin més detalls sobre el tipus de compromís al qual ha estat sotmès TeamViewer».

Els actors d’amenaça tenen com a objectiu un compte d’empleat compromès#

En un assessorament actualitzat publicat el 30 de juny, TeamViewer va confirmar que l’incompliment no va afectar el seu entorn de producte, la plataforma de connectivitat TeamViewer ni cap dada del client, afirmant que treballa per reconstruir el seu entorn informàtic corporatiu intern per fer-lo més segur.

«Segons les troballes actuals, l’actor de l’amenaça va aprofitar un compte d’empleat compromès per copiar les dades del directori d’empleats, és a dir, noms, informació de contacte corporativa i contrasenyes xifrades dels empleats per al nostre entorn informàtic corporatiu intern”, va dir. «Hem informat els nostres empleats i les autoritats competents».

TeamViewer, que treballa amb Microsoft com a part dels seus esforços de resposta a incidents, va dir que el risc associat a les contrasenyes xifrades contingudes al directori s’ha mitigat. També va dir que va endurir els procediments d’autenticació per als seus empleats al màxim i va implementar capes de protecció més fortes.

«APT29 és un dels actors més desafiants que seguim i s’adrecen a empreses tecnològiques de totes les mides», va dir John Hultquist, analista en cap de Mandiant, propietat de Google. «Treballen molt per mantenir-lo sota el radar, però malgrat la seva manera d’actuar sigil·losa, no tenen por d’emprendre aquests atacs atrevits a la cadena de subministrament».

«Estan passant a través d’empreses tecnològiques per arribar als seus clients, on esperen trobar la intel·ligència que alimenta la presa de decisions al Kremlin. En general, busquen informació sobre els afers exteriors, amb un èmfasi particular en el suport a Ucraïna, i es dirigeixen al govern i a les organitzacions relacionades per obtenir aquesta informació Recentment també s’han dirigit a partits polítics a Alemanya».