Rede corporativa da TeamViewer foi violada em suposto hack APT

08/07/2024 mindsecblog Notícias 0

Rede corporativa da TeamViewer foi violada em suposto hack APT. O TeamViewer está atribuindo o ataque ao grupo de hackers patrocinado pelo estado russo conhecido como Midnight Blizzard.

A empresa de software de acesso remoto TeamViewer está alertando que seu ambiente corporativo foi violado em um ataque cibernético ontem, com uma empresa de segurança cibernética alegando que foi por um grupo de hackers APT.

“Na quarta-feira, 26 de junho de 2024, nossa equipe de segurança detectou uma irregularidade no ambiente interno de TI corporativo da TeamViewer”, disse a TeamViewer em uma publicação em seu Trust Center.

“Ativamos imediatamente nossa equipe de resposta e procedimentos, iniciamos investigações em conjunto com uma equipe de especialistas em segurança cibernética de renome mundial e implementamos as medidas de remediação necessárias.”

“O ambiente interno de TI corporativo da TeamViewer é completamente independente do ambiente do produto. Não há evidências que sugiram que o ambiente do produto ou os dados do cliente sejam afetados. As investigações estão em andamento e nosso foco principal continua sendo garantir a integridade de nossos sistemas.”

A empresa afirma que planeja ser transparente sobre a violação e atualizará continuamente o status de sua investigação à medida que mais informações estiverem disponíveis.

No entanto, embora digam que pretendem ser transparentes, a página ” Atualização de segurança de TI do TeamViewer<meta name="robots" content="noindex"> ” contém uma tag HTML que impede que o documento seja indexado por mecanismos de busca e, portanto, difícil de ser encontrado.

O TeamViewer é um software de acesso remoto muito popular que permite que os usuários controlem remotamente um computador e o usem como se estivessem sentados na frente do dispositivo. A empresa diz que seu produto é usado atualmente por mais de 640.000 clientes em todo o mundo e foi instalado em mais de 2,5 bilhões de dispositivos desde o lançamento da empresa.

Embora a TeamViewer afirme que não há evidências de que seu ambiente de produto ou dados de clientes tenham sido violados, seu uso massivo em ambientes corporativos e de consumidores torna qualquer violação uma preocupação significativa, pois forneceria acesso total às redes internas.

Em 2019, a TeamViewer confirmou uma violação de 2016 vinculada a agentes de ameaças chineses devido ao uso do backdoor Winnti. A empresa disse que não divulgou a violação na época, pois os dados não foram roubados no ataque.

Suposto grupo APT por trás do ataque

A notícia da violação foi relatada pela primeira vez no Mastodon pelo profissional de segurança de TI Jeffrey, que compartilhou partes de um alerta publicado no Dutch Digital Trust Center, um portal da web usado pelo governo, especialistas em segurança e corporações holandesas para compartilhar informações sobre ameaças à segurança cibernética.

“A equipe de Inteligência Global de Ameaças do NCC Group foi informada sobre um comprometimento significativo da plataforma de suporte e acesso remoto TeamViewer por um grupo APT”, alerta a empresa de segurança de TI NCC Group.

“Devido ao uso generalizado deste software, o seguinte alerta está sendo distribuído com segurança aos nossos clientes.”

Um alerta do Health-ISAC, uma comunidade para profissionais de saúde compartilharem informações sobre ameaças, também alertou hoje que os serviços do TeamViewer estavam sendo alvos ativos do grupo de hackers russo APT29, também conhecido como Cozy Bear, NOBELIUM e Midnight Blizzard.

“Em 27 de junho de 2024, o Health-ISAC recebeu informações de um parceiro de inteligência confiável de que o APT29 está explorando ativamente o Teamviewer”, diz o alerta do Health-ISAC compartilhado por Jeffrey.

“O Health-ISAC recomenda revisar os logs para qualquer tráfego incomum de desktop remoto. Atores de ameaças foram observados aproveitando ferramentas de acesso remoto. O Teamviewer foi observado sendo explorado por atores de ameaças associados ao APT29.”

APT29 é um grupo de ameaças persistentes avançadas russo vinculado ao Serviço de Inteligência Estrangeira da Rússia (SVR). O grupo de hackers é conhecido por suas habilidades de ciberespionagem e foi vinculado a vários ataques ao longo dos anos , incluindo ataques a diplomatas ocidentais e uma violação recente do ambiente de e-mail corporativo da Microsoft .

Embora os alertas de ambas as empresas tenham sido divulgados hoje, assim que a TeamViewer divulgou o incidente, não está claro se eles estão vinculados, já que os alertas da TeamViewer e da NCC abordam a violação corporativa, enquanto o alerta Health-ISAC se concentra mais em atingir as conexões da TeamViewer.

O BleepingComputer contatou a TeamViewer com perguntas sobre o ataque, mas foi informado que nenhuma informação adicional seria compartilhada enquanto eles investigavam o incidente.

O NCC Group disse ao BleepingComputer que não tinha mais nada a acrescentar quando contatado para obter mais informações.

“Como parte do nosso serviço de Inteligência de Ameaças para nossos clientes, emitimos alertas regularmente com base em uma variedade de fontes e inteligência“, disse o NCC Group ao BleepingComputer.

“Neste momento, não temos mais nada a acrescentar ao alerta que foi enviado aos nossos clientes.”

O TeamViewer informou ao BleepingComputer que removeu a tag noindex do Trust Center e que ela deve ser indexada em breve pelos mecanismos de busca.

Fonte: BleepingComputer