Справедливість

Новини, репортажі, українські військові новини

Сб. Бер 15th, 2025
новини

Пов’язана з Росією група APT29, ймовірно, зламала корпоративну мережу TeamViewer

Від Черний Олек Сер1,2024

Пов’язану з Росією групу APT, як повідомляється, APT29, підозрюють у зломі корпоративної мережі TeamViewer.
TeamViewer виявив, що зловмисник зламав її корпоративну мережу, і деякі звіти приписують вторгнення пов’язаній з Росією групі APT APT29 (також відомої як група SVR, BlueBravo, Cozy Bear, Nobelium, Midnight Blizzard і The Dukes).
Несанкціонований доступ до ІТ-інфраструктури компанії стався 26 червня, зловмисники використовували облікові дані стандартного облікового запису співробітника в її ІТ-середовищі.
Після виявлення підозрілої активності за цим обліковим записом компанія негайно розпочала заходи з реагування на інцидент.
«Комплексна робоча група, що складається з групи безпеки TeamViewer разом із провідними світовими експертами з кібербезпеки, цілодобово та без вихідних працювала над розслідуванням інциденту всіма доступними засобами. Ми постійно обмінюємося інформацією з додатковими постачальниками інформації про загрози та відповідними органами, щоб повідомити розслідування». йдеться в заяві, опублікованій компанією.
«Поточні результати розслідування вказують на атаку в середу, 26 червня, пов’язану з обліковими даними стандартного облікового запису співробітника в нашому корпоративному ІТ-середовищі. На основі постійного моніторингу безпеки наші команди виявили підозрілу поведінку цього облікового запису та негайно вжили заходів реагування на інциденти. Разом із нашою зовнішньою підтримкою реагування на інциденти ми наразі пов’язуємо цю активність із загрозою, відомою як APT29 / Midnight Blizzard. Згідно з поточними результатами розслідування, атака була стримана в корпоративному ІТ-середовищі, і немає жодних доказів того, що зловмисник отримав доступ до середовища нашого продукту або даних клієнтів».
В оновленні, опублікованому TeamViewer, зазначено, що результати підтвердили, що атака на його інфраструктуру була обмежена внутрішнім корпоративним ІТ-середовищем і не вплинула на середовище продукту, платформу підключення або будь-які дані клієнтів.
Популярний репортер Ars Technica Ден Гудін повідомив, що попередження охоронної фірми NCC Group повідомляє про «значну компрометацію платформи віддаленого доступу та підтримки TeamViewer групою APT».
У травні 2019 року німецька газета Der Spiegel повідомила, що німецьку компанію програмного забезпечення, яка стоїть за TeamViewer, у 2016 році зламали китайські хакери.
За даними ЗМІ, китайські державні хакери використовували троян Winnti для зараження систем компанії.
Група Winnti була вперше помічена Касперським у 2013 році, на думку дослідників, національно-державний суб’єкт був активним принаймні з 2007 року.
Банда має фінансові мотиви та в основному була залучена до кампаній кібершпигунства. Хакери були відомі тим, що нападали на компанії в індустрії онлайн-ігор, більшість жертв знаходяться в Південно-Східній Азії.
Кібершпигунська група Winnti відома своєю здатністю розповсюджувати зловмисне програмне забезпечення в ланцюгах постачання законного програмного забезпечення.
За словами компанії, вона стала мішенню хакерів восени 2016 року, коли її експерти виявили підозрілу діяльність і швидко заблокували їх, щоб запобігти серйозним збиткам.
Представник TeamViewer повідомив, що компанія розслідувала спроби вторгнення, але не знайшла жодних доказів розкриття даних клієнтів і конфіденційних даних.
Der Spiegel підкреслив, що TeamViewer не повідомляв громадськості про порушення безпеки.
«Восени 2016 року TeamViewer став об’єктом кібератаки. Наші системи вчасно виявили підозрілу діяльність, щоб запобігти серйозній шкоді. Експертна група внутрішніх і зовнішніх дослідників кібербезпеки, тісно співпрацюючи з відповідальними органами, успішно відбила атаку та за допомогою всіх доступних засобів ІТ-криміналістики не знайшла жодних доказів того, що дані клієнтів чи інша конфіденційна інформація були викрадені, що комп’ютерні системи клієнтів було заражено або що вихідний код TeamViewer був маніпульований, викрадений або використаний будь-яким іншим чином». сказав речник компанії.
«Через надмірну обережність TeamViewer згодом провів комплексний аудит своєї архітектури безпеки та ІТ-інфраструктури та додатково посилив її за допомогою відповідних заходів».
У той час компанія опублікувала заяву, щоб виключити її зламаність хакерами:
«Göppingen/Німеччина, 23 травня 2016 р. Нещодавня стаття попереджає: «Хакери отримали повний доступ до системи: банківські рахунки користувачів TeamViewer спустошено». TeamViewer жахається будь-якою злочинною діяльністю; однак джерелом проблеми, згідно з нашими дослідженнями, є необережне використання, а не потенційне порушення безпеки з боку TeamViewer». написала компанія.
Лише у 2019 році компанія визнала, що була порушена у 2016 році.

оригінальний текст:

Russia-linked group APT29 likely breached TeamViewer’s corporate network

Russia-linked APT group, reportedly APT29, is suspected to be behind a hack of TeamViewer ‘s corporate network.
TeamViewer discovered that a threat actor has breached its corporate network and some reports attribute the intrusion to the Russia-linked APT group APT29 (aka SVR group, BlueBravo, Cozy Bear, Nobelium, Midnight Blizzard, and The Dukes).
The unauthorized access to the IT infrastructure of the company occurred on June 26, threat actors used the credentials of a standard employee account within its IT environment.
Upon detecting the suspicious activity by this account, the company immediately started the incident response measures.
“A comprehensive taskforce consisting of TeamViewer’s security team together with globally leading cyber security experts has worked 24/7 on investigating the incident with all means available. We are in constant exchange with additional threat intelligence providers and relevant authorities to inform the investigation.” reads the statement published by the company.
“Current findings of the investigation point to an attack on Wednesday, June 26, tied to credentials of a standard employee account within our Corporate IT environment. Based on continuous security monitoring, our teams identified suspicious behavior of this account and immediately put incident response measures into action. Together with our external incident response support, we currently attribute this activity to the threat actor known as APT29 / Midnight Blizzard. Based on current findings of the investigation, the attack was contained within the Corporate IT environment and there is no evidence that the threat actor gained access to our product environment or customer data.”
An update published by TeamViewer states that findings confirmed that the attack on its infrastructure was limited to its internal corporate IT environment and did not affect the product environment, connectivity platform, or any customer data.
The popular Ars Technica reporter Dan Goodin reported that an alert issued by security firm NCC Group reports a “significant compromise of the TeamViewer remote access and support platform by an APT group.”
In May 2019, the German newspaper Der Spiegel revealed that the German software company behind TeamViewer was compromised in 2016 by Chinese hackers.
According to the media outlet, Chinese state-sponsored hackers used the Winnti trojan malware to infect the systems of the Company.
The Winnti group was first spotted by Kaspersky in 2013, according to the researchers, the nation-state actor has been active since at least 2007.
The gang is financially-motivated and was mostly involved in cyber espionage campaigns. The hackers were known for targeting companies in the online gaming industry, the majority of the victims are located in Southeast Asia.
The Winnti cyberespionage group is known for its ability in targeting supply chains of legitimate software to spread malware.
According to the company, it was targeted by the hackers in autumn 2016, when its experts detected suspicious activities were quickly blocked them to prevent major damages.
TeamViewer spokesperson revealed that the company investigated the attempts of intrusion, but did not find any evidence of exposure for customer data and sensitive data.
Der Spiegel pointed out that TeamViewer did not disclose the security breach to the public.
“In autumn 2016, TeamViewer was target of a cyber-attack. Our systems detected the suspicious activities in time to prevent any major damage. An expert team of internal and external cyber security researchers, working together closely with the responsible authorities, successfully fended off the attack and with all available means of IT forensics found no evidence that customer data or other sensitive information had been stolen, that customer computer systems had been infected or that the TeamViewer source code had been manipulated, stolen or misused in any other way.” said company spokesman.
“Out of an abundance of caution, TeamViewer conducted a comprehensive audit of its security architecture and IT infrastructure subsequently and further strengthened it with appropriate measures.”
At the time the company published a statement to exclude it was breached by hackers:
“Göppingen/Germany, May 23, 2016. A recent article warns, “TeamViewer users have had their bank accounts emptied by hackers gaining full-system access”. TeamViewer is appalled by any criminal activity; however, the source of the problem, according to our research, is careless use, not a potential security breach on TeamViewer’s side.” wrote the company.
Only in 2019, the company admitted it was breached in 2016.

By Черний Олек

Related Post

новини

Російські фішингові кампанії використовують функцію зв’язування пристроїв Signal

Черний Олек Бер 13, 2025
новини

Підгрупа початкового доступу Sandworm APT вражає організації по всьому світу

Черний Олек Бер 12, 2025
новини

Повідомляється, що США звільнили російського кіберзлочинця Олександра Вінника в рамках обміну ув’язненими

Черний Олек Бер 10, 2025

Ви пропустили

новини

Російські фішингові кампанії використовують функцію зв’язування пристроїв Signal

новини

Підгрупа початкового доступу Sandworm APT вражає організації по всьому світу

новини

Повідомляється, що США звільнили російського кіберзлочинця Олександра Вінника в рамках обміну ув’язненими

новини

Підгрупа російського Sandworm компрометує організації США та Європи, заявляє Microsoft