Le groupe de hackers russe APT29 pourrait être à l’origine d’une récente cyberattaque d’exploitation de TeamViewer

TeamViewer, un fournisseur de logiciels de connectivité à distance largement utilisé, a signalé une compromission dans son réseau d'entreprise, certaines sources attribuant l'attaque à un groupe russe Advanced Persistent Threat (APT) . Le 26 juin, l'équipe de sécurité de TeamViewer a identifié une « irrégularité » au sein de son environnement informatique interne d'entreprise. L'entreprise a assuré aux utilisateurs que cet environnement est distinct de l'environnement du produit, indiquant ainsi que les données clients ne sont pas affectées. Malgré ces assurances, l'enquête en cours vise à maintenir l'intégrité de leurs systèmes.

Selon une déclaration publiée sur le site Web de TeamViewer, il n'existe actuellement aucune preuve suggérant que la violation a eu un impact sur l'environnement du produit ou sur les données des clients. L'entreprise reste néanmoins vigilante tandis que les enquêtes se poursuivent. TeamViewer s'est engagé à faire preuve de transparence et fournira des mises à jour à mesure que de plus amples informations seront disponibles.

La violation a attiré l'attention sur les réseaux sociaux, un utilisateur de Mastodon nommé Jeffrey rapportant que l'équipe de renseignement sur les menaces du groupe NCC a informé ses clients d'une « compromission importante » de la plateforme d'accès et de support à distance TeamViewer par un groupe APT. En outre, le Centre américain de partage et d'analyse des informations sur la santé (Health-ISAC) a émis une alerte, citant les renseignements d'un partenaire de confiance qui attribue l'attaque au célèbre groupe APT29 , également connu sous le nom de Cozy Bear ou Midnight Blizzard. Ce groupe parrainé par l’État russe est tristement célèbre pour avoir exécuté des cyberattaques à fort impact contre des organisations importantes.

L'alerte de Health-ISAC recommande aux organisations de consulter leurs journaux pour détecter tout trafic inhabituel de postes de travail à distance, notant que des acteurs malveillants ont été observés en train d'utiliser des outils d'accès à distance. L'organisation a souligné l'importance de la vigilance pour détecter et atténuer ces menaces.

APT29 a une longue histoire de cyberespionnage, ciblant souvent des entités gouvernementales et autres entités de premier plan. Leurs tactiques, techniques et procédures (TTP) sont bien documentées et incluent l'exploitation d'outils d'accès à distance pour s'infiltrer et persister dans les réseaux cibles.

Cet incident récent n'est pas la première fois que TeamViewer est ciblé par des cybercriminels. En 2019, TeamViewer a révélé qu'il avait été piraté en 2016 par un acteur malveillant qui opérerait depuis la Chine. L'entreprise a choisi de ne pas divulguer la violation immédiatement, invoquant le manque de preuves d'un impact sur les clients.

En réponse à la dernière violation, TeamViewer a souligné son engagement en faveur de la transparence et continuera de fournir des mises à jour à mesure que l'enquête progresse. L'objectif principal de l'entreprise reste d'assurer la sécurité et l'intégrité de ses systèmes, en protégeant à la fois son environnement d'entreprise et celui de ses produits.