Οι πρώτες ενδείξεις υποδεικνύουν ότι ίσως η ομάδα χάκερ Midnight Blizzard (ή αλλιώς APT29) ευθύνεται για αυτό το περιστατικό.
Η TeamViewer, πάροχος του δημοφιλούς λογισμικού απομακρυσμένης πρόσβασης, έπεσε θύμα κυβερνοεπίθεσης, πίσω από την οποία ίσως κρύβεται η γνωστή ομάδα χάκερ APT29. Σύμφωνα με ανακοίνωση της εταιρείας, με βάση τα τωρινά στοιχεία, το περιστατικό φαίνεται να περιορίζεται μόνο στην εσωτερική υποδομή IT της TeamViewer. Μέχρι στιγμής, δεν υπάρχουν ενδείξεις που να υποδηλώνουν ότι επηρεάστηκε και το περιβάλλον των προϊόντων ή τα δεδομένα των πελατών.
“Οι έρευνες συνεχίζονται και η κύρια προτεραιότητα μας παραμένει η διασφάλιση της ακεραιότητας των συστημάτων μας”, δήλωσε η εταιρεία. Η TeamViewer εντόπισε για πρώτη φορά ασυνήθιστες δραστηριότητες στο εσωτερικό των Πληροφοριακών Συστημάτων της στις 26 Ιουνίου 2024. Ο πάροχος διαβεβαιώνει ότι συνεργάστηκε άμεσα “με παγκοσμίως αναγνωρισμένους ειδικούς ασφάλειας σε τούτο τον τομέα ” για να ξεκινήσει έρευνες και να υλοποιήσει τα απαραίτητα μέτρα προστασίας.
Επιπλέον, η εταιρεία τονίζει ότι δίνει μεγάλη έμφαση στην διαφάνεια και θα ενημερώνει τακτικά για την πρόοδο των ερευνών σχετικά με το περιστατικό.
Οι πρώτες ενδείξεις υποδεικνύουν την Midnight Blizzard
Ενώ η TeamViewer τηρεί σιγή ιχθύος όσον αφορά την πηγή της επίθεσης, ένας ειδικός ασφάλειας ονόματι Jeffrey φαίνεται να γνωρίζει περισσότερα. Μοιράστηκε αρχικά -στο κοινωνικό δίκτυο Mastodon- ένα απόσπασμα από μια προειδοποίηση που δεν προοριζόταν για το κοινό από την εταιρεία ασφάλειας πληροφοριών NCC Group.
Στο απόσπασμα αναφέρεται ότι η εταιρεία “ενημερώθηκε για μια σημαντική απειλή στην πλατφόρμα απομακρυσμένης πρόσβασης και υποστήριξης της TeamViewer από μια ομάδα APT”.
Αργότερα, ο Jeffrey συμπλήρωσε μια προειδοποίηση από το Health-ISAC, μια κοινότητα επαγγελματιών υγείας για την ανταλλαγή πληροφοριών σχετικά με τέτοιου είδους απειλές. Η προειδοποίηση αποδίδει την επίθεση στην ομάδα χάκερ APT29, η οποία φέρεται να συνδέεται με την ρωσική υπηρεσία εξωτερικών πληροφοριών SVR..
Η ομάδα, γνωστή και με τα ονόματα Midnight Blizzard, Nobelium και Cozy Bear, έγινε φέτος αρκετές φορές πρωτοσέλιδο στα μέσα μαζικής ενημέρωσης για τις επιθέσεις της στη Microsoft.
“Το Health-ISAC συνιστά να ελέγξετε των αρχείων καταγραφής των πληροφοριακών συστημάτων για ασυνήθιστη κίνηση μέσω απομακρυσμένης πρόσβασης”, αναφέρεται στην προειδοποίηση.
Ενώ έχει παρατηρηθεί ότι οι επιτιθέμενοι εκμεταλλεύτηκαν το λογισμικό απομακρυσμένης πρόσβασης TeamViewer. Ωστόσο, αυτές οι πληροφορίες έρχονται σε αντίθεση με τον ισχυρισμό της TeamViewer ότι το περιστατικό περιορίζεται στην εσωτερική υποδομή πληροφοριακών συστημάτων της εταιρείας.