O TeamViewer divulgou na quinta-feira que detectou uma “irregularidade” em seu ambiente interno de TI corporativo em 26 de junho de 2024.
“Ativamos imediatamente nossa equipe de resposta e procedimentos, iniciamos investigações junto com uma equipe de especialistas em segurança cibernética de renome mundial e implementamos as medidas de remediação necessárias”, disse a empresa em um comunicado.
A empresa também observou que seu ambiente corporativo de TI está completamente isolado do ambiente do produto e que não há evidências que indiquem que quaisquer dados do cliente tenham sido afetados como resultado do incidente.
Não foram divulgados detalhes sobre quem pode estar por trás da invasão e como eles conseguiram realizá-la, mas foi dito que uma investigação está em andamento e que serão fornecidas atualizações de standing assim que novas informações estiverem disponíveis.
A TeamViewer, sediada na Alemanha, é a fabricante de software program de monitoramento e gerenciamento remoto (RMM) que permite que provedores de serviços gerenciados (MSPs) e departamentos de TI gerenciem servidores, estações de trabalho, dispositivos de rede e endpoints. É usada por mais de 600.000 clientes.
Curiosamente, o Centro de Análise e Compartilhamento de Informações de Saúde dos EUA (Well being-ISAC) emitiu um boletim sobre a exploração ativa do TeamViewer por agentes de ameaças, de acordo com a Associação Americana de Hospitais (AHA).
“Atores de ameaças foram observados alavancando ferramentas de acesso remoto”, a organização sem fins lucrativos teria dito. “Teamviewer foi observado sendo explorado por atores de ameaças associados ao APT29.”
Atualmente não está claro neste estágio se isso significa que os invasores estão abusando das deficiências do TeamViewer para violar as redes dos clientes, usando práticas de segurança inadequadas para se infiltrar nos alvos e implantar o software program, ou se realizaram um ataque aos próprios sistemas do TeamViewer.
APT29, também chamado de BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard e The Dukes, é um agente de ameaça patrocinado pelo estado afiliado ao Serviço de Inteligência Estrangeiro Russo (SVR). Recentemente, ele foi vinculado às violações da Microsoft e da Hewlett Packard Enterprise (HPE).
Desde então, a Microsoft revelou que algumas caixas de entrada de e-mail de clientes também foram acessadas pelo APT29 após o hack que veio à tona no início deste ano, de acordo com relatórios da Bloomberg e da Reuters.
“Esta semana continuamos a enviar notificações aos clientes que se corresponderam com contas de e-mail corporativas da Microsoft que foram exfiltradas pelo ator da ameaça Midnight Blizzard”, disse o gigante da tecnologia à agência de notícias.
Ataque oficialmente atribuído ao APT29
O TeamViewer, em uma atualização na sexta-feira, atribuiu o ataque ao APT29, afirmando que ele teve como alvo as credenciais associadas a uma conta de funcionário em seu ambiente corporativo de TI.
“Com base no monitoramento contínuo de segurança, nossas equipes identificaram comportamento suspeito desta conta e imediatamente colocaram em ação medidas de resposta a incidentes”, observou em um alerta revisado. “Não há evidências de que o agente da ameaça tenha obtido acesso ao nosso ambiente de produto ou aos dados do cliente.”
O Grupo NCC, que primeiro alertou sobre a violação por meio de uma divulgação limitada devido ao uso generalizado do software program, recomendou a remoção do software program “até que mais detalhes sejam conhecidos sobre o tipo de comprometimento ao qual o TeamViewer foi submetido”.
