El grupo de hackers ruso APT29 puede estar detrás del reciente ciberataque de explotación de TeamViewer
TeamViewer, un proveedor de software de conectividad remota ampliamente utilizado, ha informado de un compromiso en su red corporativa, y algunas fuentes atribuyen el ataque a un grupo ruso de amenazas persistentes avanzadas (APT) . El 26 de junio, el equipo de seguridad de TeamViewer identificó una "irregularidad" dentro de su entorno interno de TI corporativo. La empresa aseguró a los usuarios que este entorno es distinto del entorno del producto, lo que indica que los datos de los clientes no se ven afectados. A pesar de esta tranquilidad, la investigación en curso tiene como objetivo mantener la integridad de sus sistemas.
Según una declaración en el sitio web de TeamViewer, actualmente no hay evidencia que sugiera que la violación haya impactado el entorno del producto o los datos del cliente. Sin embargo, la empresa permanece alerta mientras continúan las investigaciones. TeamViewer se ha comprometido a ser transparente y proporcionará actualizaciones a medida que haya más información disponible.
La violación ha llamado la atención en las redes sociales, con un usuario de Mastodon llamado Jeffrey informando que el equipo de inteligencia de amenazas del Grupo NCC ha estado notificando a sus clientes sobre un "compromiso significativo" de la plataforma de soporte y acceso remoto TeamViewer por parte de un grupo APT. Además, el Centro de Análisis e Intercambio de Información de Salud (Health-ISAC) con sede en EE. UU. ha emitido una alerta, citando información de inteligencia de un socio confiable que atribuye el ataque al notorio grupo APT29 , también conocido como Cozy Bear o Midnight Blizzard. Este grupo patrocinado por el estado ruso es famoso por ejecutar ciberataques de alto impacto contra organizaciones importantes.
La alerta de Health-ISAC recomendó que las organizaciones revisen sus registros para detectar cualquier tráfico inusual de escritorio remoto, y señaló que se han observado actores de amenazas utilizando herramientas de acceso remoto. La organización destacó la importancia de la vigilancia para detectar y mitigar tales amenazas.
APT29 tiene una larga historia de ciberespionaje, a menudo dirigido a entidades gubernamentales y otras entidades de alto perfil. Sus tácticas, técnicas y procedimientos (TTP) están bien documentados e incluyen el aprovechamiento de herramientas de acceso remoto para infiltrarse y persistir dentro de las redes objetivo.
Este incidente reciente no es la primera vez que TeamViewer es blanco de ciberdelincuentes. En 2019, TeamViewer reveló que había sido pirateado en 2016 por un actor de amenazas que se cree que opera desde China. La empresa optó por no revelar la infracción de inmediato, alegando falta de pruebas del impacto en los clientes.
En respuesta a la última infracción, TeamViewer ha enfatizado su compromiso con la transparencia y continuará brindando actualizaciones a medida que avance la investigación. El objetivo principal de la empresa sigue siendo garantizar la seguridad y la integridad de sus sistemas, salvaguardando tanto sus entornos corporativos como de productos.