TeamViewer reveló el jueves que detectó una «irregularidad» en su entorno de TI corporativo interno el 26 de junio de 2024.
«Inmediatamente activamos nuestro equipo de respuesta y nuestros procedimientos, iniciamos investigaciones junto con un equipo de expertos en seguridad cibernética de renombre mundial e implementamos las medidas correctivas necesarias», dijo la compañía en un comunicado.
Señaló además que su entorno de TI corporativo está completamente aislado del entorno del producto y que no hay evidencia que indique que los datos de los clientes se hayan visto afectados como resultado del incidente.
No reveló ningún detalle sobre quién pudo haber estado detrás de la intrusión y cómo pudieron lograrla, pero dijo que se está llevando a cabo una investigación y que proporcionaría actualizaciones de estado a medida que haya nueva información disponible.
TeamViewer, con sede en Alemania, es el creador de software de gestión y monitoreo remoto (RMM) que permite a los proveedores de servicios administrados (MSP) y departamentos de TI administrar servidores, estaciones de trabajo, dispositivos de red y puntos finales. Lo utilizan más de 600.000 clientes .
Curiosamente, el Centro de Análisis e Intercambio de Información Sanitaria de EE. UU. (Health-ISAC) ha emitido un boletín sobre la explotación activa de TeamViewer por parte de actores de amenazas, según la Asociación Estadounidense de Hospitales (AHA).
«Se ha observado que los actores de amenazas utilizan herramientas de acceso remoto», según informó la organización sin fines de lucro . «Se ha observado que los actores de amenazas asociados con APT29 explotan Teamviewer».
Actualmente no está claro en este momento si esto significa que los atacantes están abusando de las deficiencias de TeamViewer para violar las redes de los clientes, utilizando prácticas de seguridad deficientes para infiltrarse en los objetivos e implementar el software, o si han llevado a cabo un ataque a los propios sistemas de TeamViewer.
APT29, también llamado BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard y The Dukes, es un actor de amenazas patrocinado por un estado afiliado al Servicio de Inteligencia Exterior de Rusia (SVR). Recientemente, se lo vinculó con las brechas de seguridad de Microsoft y Hewlett Packard Enterprise (HPE).
Desde entonces, Microsoft ha revelado que APT29 también accedió a las bandejas de entrada de correo electrónico de algunos clientes luego del hack que salió a la luz a principios de este año, según informes de Bloomberg y Reuters .
«Esta semana continuamos con las notificaciones a los clientes que mantuvieron correspondencia con cuentas de correo electrónico corporativas de Microsoft que fueron exfiltradas por el actor de amenazas Midnight Blizzard», dijo el gigante tecnológico a la agencia de noticias.
Ataque oficialmente atribuido a APT29
TeamViewer, en una actualización del viernes, atribuyó el ataque a APT29 y afirmó que tenía como objetivo las credenciales asociadas con una cuenta de empleado dentro de su entorno de TI corporativo.
«Basándonos en el continuo monitoreo de seguridad, nuestros equipos identificaron comportamientos sospechosos en esta cuenta e inmediatamente pusieron en acción medidas de respuesta a incidentes», señaló en una alerta revisada. «No hay evidencia de que el actor de amenazas haya obtenido acceso a nuestro entorno de productos o a los datos de nuestros clientes».
NCC Group, que alertó por primera vez sobre la violación a través de una divulgación limitada debido al uso generalizado del software, ha recomendado la eliminación del software «hasta que se conozcan más detalles sobre el tipo de compromiso al que se ha visto sometido TeamViewer».
Fuente y redacción: thehackernews.com
