TeamViewer sofre ataque
28 de Junho de 2024

A empresa de software de acesso remoto TeamViewer está alertando que seu ambiente corporativo foi violado em um ciberataque ontem, com uma firma de cibersegurança alegando que foi por um grupo de hacking APT.

"Na quarta-feira, 26 de junho de 2024, nossa equipe de segurança detectou uma irregularidade no ambiente IT corporativo interno da TeamViewer", disse a TeamViewer em uma postagem em seu Trust Center.

"Imediatamente ativamos nossa equipe de resposta e procedimentos, iniciamos investigações juntamente com uma equipe de especialistas em cibersegurança globalmente reconhecidos e implementamos as medidas de remediação necessárias," continua a postagem.

O ambiente IT corporativo interno da TeamViewer é completamente independente do ambiente de produto.

Não há evidências que sugiram que o ambiente de produto ou dados de clientes tenham sido afetados.

As investigações estão em andamento e nosso foco principal permanece em garantir a integridade de nossos sistemas.

A empresa diz que planeja ser transparente sobre a violação e atualizará continuamente o status de sua investigação à medida que mais informações estiverem disponíveis.

No entanto, embora digam que pretendem ser transparentes, a página "Atualização de segurança IT da TeamViewer" contém uma tag HTML <meta name="robots" content="noindex">, que impede que o documento seja indexado por mecanismos de busca e, portanto, difícil de encontrar.

A TeamViewer é um software de acesso remoto muito popular que permite aos usuários controlar remotamente um computador e usá-lo como se estivessem sentados à frente do dispositivo.

A empresa diz que seu produto é atualmente usado por mais de 640.000 clientes em todo o mundo e foi instalado em mais de 2,5 bilhões de dispositivos desde o lançamento da empresa.

Embora a TeamViewer afirme que não há evidências de que seu ambiente de produto ou dados de clientes tenham sido violados, seu uso massivo tanto em ambientes de consumidores quanto corporativos torna qualquer violação uma preocupação significativa, pois forneceria acesso completo às redes internas.

Em 2019, a TeamViewer confirmou uma violação em 2016 ligada a atores de ameaça chineses devido ao uso do backdoor Winnti.

A empresa disse que não divulgou a violação na época, pois dados não foram roubados no ataque.

Notícias da violação foram primeiro reportadas no Mastodon pelo profissional de segurança de TI, Jeffrey, que compartilhou partes de um alerta compartilhado no Dutch Digital Trust Center, um portal web usado pelo governo, especialistas em segurança e corporações holandesas para compartilhar informações sobre ameaças de cibersegurança.

"A equipe de Inteligência de Ameaça Global do Grupo NCC foi informada sobre o comprometimento significativo da plataforma de acesso e suporte remoto da TeamViewer por um grupo APT", alerta um aviso da firma de segurança de TI Grupo NCC.

Devido ao uso generalizado deste software, o seguinte alerta está sendo circulado com segurança para nossos clientes.

Um alerta do Health-ISAC, uma comunidade para profissionais de saúde compartilharem inteligência sobre ameaças, também avisou hoje que os serviços da TeamViewer estavam sendo supostamente visados ativamente pelo grupo de hacking russo APT29, também conhecido como Cozy Bear, NOBELIUM e Midnight Blizzard.

"Em 27 de junho de 2024, o Health-ISAC recebeu informações de um parceiro de inteligência confiável que o APT29 está explorando ativamente o Teamviewer", lê-se no alerta compartilhado por Jeffrey do Health-ISAC.

O Health-ISAC recomenda revisar os registros para qualquer tráfego incomum de desktop remoto.

Atuadores de ameaças têm sido observados aproveitando ferramentas de acesso remoto.

O Teamviewer foi observado sendo explorado por atuadores de ameaças associados ao APT29.

O APT29 é um grupo russo de ameaça persistente avançada vinculado ao Serviço de Inteligência Estrangeira da Rússia (SVR).

O grupo de hacking é conhecido por suas habilidades de ciberespionagem e foi ligado a diversos ataques ao longo dos anos, incluindo ataques a diplomatas ocidentais e uma recente violação do ambiente corporativo de email da Microsoft.

Embora os alertas de ambas as empresas venham hoje, justamente quando a TeamViewer divulgou o incidente, não está claro se eles estão ligados, já que os alertas da TeamViewer e do NCC abordam a violação corporativa, enquanto o alerta do Health-ISAC foca mais no direcionamento das conexões da TeamViewer.

O Grupo NCC informou que não tinha nada mais a adicionar quando contatado para mais informações.

"Como parte do nosso serviço de Inteligência de Ameaça aos nossos clientes, emitimos alertas regularmente com base em uma variedade de fontes e inteligência", disse o Grupo NCC.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...