Разработчики TeamViewer сообщили, что ранее на этой неделе на их корпоративную среду была совершена хакерская атака. При этом ИБ-эксперты полагают, что это дело рук некой APT, то есть правительственных хакеров.
«В среду, 26 июня 2024 года, наша служба безопасности обнаружила нарушение во внутренней корпоративной ИТ-среде TeamViewer, — гласит заявление TeamViewer. — Мы немедленно задействовали нашу команду по реагированию на инциденты и начали расследование, совместно с командой всемирно известных экспертов по кибербезопасности, а также приняли необходимые меры для устранению последствий [атаки]».
В компании отдельно подчеркивают, что «внутренняя корпоративная ИТ-среда TeamViewer полностью независима от продуктовой среды», и нет никаких признаков того, что атака затронула продукты компании или данные клиентов.
Представители компании уверяют, что планируют быть максимально открытыми в отношении этого взлома и обещают обновлять информацию о ходе расследования по мере поступления новых данных.
Однако СМИ обратили внимание, что страница с сообщением об инциденте содержит HTML-тег <meta name="robots" content="noindex">
, который препятствует индексации документа поисковыми системами.
Одним из первых об атаке на TeamViewer сообщил в Mastodon ИБ-специалист под ником Jeffrey. Он поделился отрывками из предупреждения, размещенного на Dutch Digital Trust Center — специальном портале, который используется голландским правительством, экспертами по безопасности и компаниями для обмена информацией об угрозах.
«Команда NCC Group Global Threat Intelligence получила информацию о серьезной компрометации APT-группировкой платформы удаленного доступа и поддержки TeamViewer, — говорится в предупреждении ИБ-компании NCC Group, размещенном в Dutch Digital Trust Center. — В связи с широким распространением этого ПО, данное предупреждение направляется нашим клиентам в целях безопасности».
Также предупреждение о взломе опубликовали и специалисты организации Health-ISAC, которая помогает медицинским учреждениям и специалистам, работающим в секторе здравоохранения, делиться информацией об угрозах. Так, по информации Health-ISAC, которую тоже цитирует Jeffrey, за атакой на TeamViewer могла стоять русскоязычная группировка APT29 (она же Cozy Bear, NOBELIUM и Midnight Blizzard).
В Health-ISAC настоятельно рекомендовали администраторам проверять логи на предмет необычного трафика.
Так как в TeamViewer утверждают, что взлом затронул только корпоративную сеть, а в предупреждении Health-ISAC речь идет об атаках с использованием TeamViewer, пока неясно, каковы последствия этого инцидента.
Отметим, что согласно официальной статистике компании, в настоящее время ее продуктом используют более 640 000 клиентов по всему миру, а с момента запуска TeamViewer был установлен более чем на 2,5 млрд устройств.
Также стоит напомнить, что это не первая атака на TeamViewer. В 2019 году компания подтвердила, что еще в 2016 году ее системы взломали китайские «правительственные хакеры», использовавшие известный бэкдор Winnti.