Компания-разработчик программного обеспечения для удалённого доступа TeamViewer предупредила об атаке на её корпоративную среду. Она утверждает, что это была хакерская группа APT29.
«В среду, 26 июня 2024 года, наша группа безопасности обнаружила сбой во внутренней корпоративной IT-среде TeamViewer. Мы немедленно активировали группу реагирования и процедуры, начали расследования вместе с командой специалистов по всему миру, привлекли известных экспертов по кибербезопасности и приняли необходимые меры по исправлению ситуации», — сообщает TeamViewer на странице Центра управления безопасностью.
Компания отметила, что внутренняя корпоративная IT-среда TeamViewer полностью изолирована от среды продукта, и нет никаких доказательств того, что атака затронула эту среду или данные клиентов.
Там также пообещали провести прозрачное расследование инцидента. При этом страница «Обновление IT-безопасности TeamViewer» содержит HTML-тег <meta name="robots" content="noindex">, который запрещает индексацию документа поисковыми системами.
О взломе впервые сообщил на Mastodon специалист по кибербезопасности Джеффри, который поделился предупреждением голландского правительственного центра цифрового доверия.
Компания по информационной безопасности NCC Group же заявила, что «узнала о серьёзной компрометации платформы удалённого доступа и поддержки TeamViewer группой APT29».
В предупреждении от сообщества медицинских работников Health-ISAC также говорится о том, что службы TeamViewer, предположительно, активно подвергаются атакам со стороны связанной с РФ хакерской группы APT29, также известной как Cozy Bear, NOBELIUM и Midnight Blizzard. «27 июня 2024 года Health-ISAC получила информацию от доверенного партнера по разведке о том, что APT29 активно использует TeamViewer. Health-ISAC рекомендует просматривать журналы на предмет любого необычного трафика удалённого рабочего стола», — отмечается в сообщении.
Вскоре информацию о причастности к атаке APT29 подтвердили и в TeamViewer.
Хотя все эти оповещения вышли одновременно, неясно, связаны ли они между собой, поскольку сообщения TeamViewer и NCC касаются корпоративного нарушения, а предупреждение Health-ISAC больше ориентировано на соединения TeamViewer.
Пока же всем клиентам TeamViewer рекомендуется включить многофакторную аутентификацию, настроить список разрешённых и заблокированных пользователей, а также отслеживать свои сетевые подключения и журналы.
Осенью 2023 года сообщалось, что хакеры, в том числе группировок Lazarus, Andariel и APT29, активно атаковали уязвимые серверы с системой CI/CD TeamCity от JetBrains. Использование уязвимости позволяло злоумышленникам не только украсть исходный код с серверов TeamCity, но также сохранённые служебные секреты и закрытые ключи проектов и рабочих сессий.
Источник новости: habr.com