Russische Hackergruppe APT29 steckt möglicherweise hinter jüngstem Cyberangriff auf TeamViewer

TeamViewer, ein weit verbreiteter Anbieter von Remote-Konnektivitätssoftware, hat einen Angriff auf sein Unternehmensnetzwerk gemeldet. Einige Quellen schreiben den Angriff einer russischen Advanced Persistent Threat (APT)-Gruppe zu. Am 26. Juni stellte das Sicherheitsteam von TeamViewer eine „Unregelmäßigkeit“ in der internen IT-Umgebung des Unternehmens fest. Das Unternehmen versicherte den Benutzern, dass sich diese Umgebung von der Produktumgebung unterscheidet, was darauf hindeutet, dass Kundendaten nicht betroffen sind. Trotz dieser Zusicherung zielt die laufende Untersuchung darauf ab, die Integrität ihrer Systeme aufrechtzuerhalten.

Laut einer Erklärung auf der Website von TeamViewer gibt es derzeit keine Hinweise darauf, dass der Verstoß Auswirkungen auf die Produktumgebung oder Kundendaten hatte. Dennoch bleibt das Unternehmen wachsam, während die Untersuchungen fortgesetzt werden. TeamViewer hat Transparenz zugesagt und wird Updates bereitstellen, sobald weitere Informationen verfügbar sind.

Der Einbruch hat in den sozialen Medien für Aufsehen gesorgt. Ein Mastodon-Benutzer namens Jeffrey berichtete, dass das Threat Intelligence Team der NCC Group seine Kunden über eine „signifikante Kompromittierung“ der Fernzugriffs- und Supportplattform TeamViewer durch eine APT-Gruppe informiert habe. Darüber hinaus hat das in den USA ansässige Health Information Sharing and Analysis Center (Health-ISAC) eine Warnung herausgegeben und sich dabei auf Informationen eines vertrauenswürdigen Partners berufen, die den Angriff der berüchtigten APT29-Gruppe zuschreiben, die auch als Cozy Bear oder Midnight Blizzard bekannt ist. Diese vom russischen Staat gesponserte Gruppe ist dafür berüchtigt, schwerwiegende Cyberangriffe auf bedeutende Organisationen durchzuführen.

In der Warnung von Health-ISAC wurde Organisationen empfohlen, ihre Protokolle auf ungewöhnlichen Remote-Desktop-Datenverkehr zu überprüfen. Es wurde darauf hingewiesen, dass Bedrohungsakteure beim Einsatz von Remote-Access-Tools beobachtet wurden. Die Organisation betonte, wie wichtig Wachsamkeit bei der Erkennung und Eindämmung solcher Bedrohungen sei.

APT29 ist seit langem in der Cyber-Spionage tätig und hat sich dabei häufig gegen staatliche und andere wichtige Stellen gewandt. Ihre Taktiken, Techniken und Verfahren (TTPs) sind gut dokumentiert und umfassen die Nutzung von Remote-Access-Tools, um in Zielnetzwerke einzudringen und sich dort aufzuhalten.

Dieser jüngste Vorfall ist nicht das erste Mal, dass TeamViewer ins Visier von Cyberkriminellen geraten ist. Im Jahr 2019 gab TeamViewer bekannt, dass es 2016 von einem Bedrohungsakteur gehackt worden war, der vermutlich aus China operierte. Das Unternehmen entschied sich, den Verstoß nicht sofort bekannt zu geben, da es keine Beweise für Auswirkungen auf die Kunden gebe.

Als Reaktion auf den jüngsten Datendiebstahl hat TeamViewer sein Engagement für Transparenz betont und wird im Verlauf der Untersuchung weiterhin Updates bereitstellen. Der Hauptfokus des Unternehmens liegt weiterhin auf der Gewährleistung der Sicherheit und Integrität seiner Systeme sowie auf dem Schutz seiner Unternehmens- und Produktumgebungen.