TeamViewer a révélé jeudi avoir détecté une « irrégularité » dans son environnement informatique interne d’entreprise le 26 juin 2024.
« Nous avons immédiatement activé notre équipe et nos procédures d’intervention, lancé des enquêtes avec une équipe d’experts en cybersécurité de renommée mondiale et mis en œuvre les mesures correctives nécessaires », a déclaré la société. dit dans un rapport.
Elle a également noté que son environnement informatique d’entreprise est complètement déconnecté de l’environnement produit et qu’il n’existe aucune preuve indiquant que les données client ont été affectées à la suite de l’incident.
Elle n’a pas révélé de détails sur les personnes qui pourraient être derrière cette intrusion ni sur la manière dont elles ont pu y parvenir, mais a déclaré qu’une enquête était en cours et qu’elle fournirait des mises à jour sur l’état d’avancement de la situation dès que de nouvelles informations seraient disponibles.
TeamViewer, basé en Allemagne, est le créateur d’un logiciel de surveillance et de gestion à distance (RMM) qui permet aux fournisseurs de services gérés (MSP) et aux services informatiques de gérer les serveurs, les postes de travail, les périphériques réseau et les terminaux. Il est utilisé par plus de 600 000 clients.
Il est intéressant de noter que le Centre américain de partage et d’analyse des informations sur la santé (Health-ISAC) a a publié un bulletin sur l’exploitation active de TeamViewer par les acteurs malveillants, selon l’American Hospital Association (AHA).
« Des acteurs malveillants ont été observés en train d’utiliser des outils d’accès à distance », a rapporté l’organisation à but non lucratif. dit« Teamviewer a été observé comme étant exploité par des acteurs malveillants associés à APT29. »
À ce stade, il n’est pas clair si cela signifie que les attaquants exploitent les lacunes de TeamViewer pour pénétrer dans les réseaux des clients, en utilisant de mauvaises pratiques de sécurité pour infiltrer les cibles et déployer le logiciel, ou s’ils ont mené une attaque sur les propres systèmes de TeamViewer.
APT29, également appelé BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard et The Dukes, est un acteur menaçant parrainé par l’État et affilié au Service de renseignement étranger russe (SVR). Récemment, elle a été liée aux failles de Microsoft et Hewlett Packard Enterprise (HPE).
Microsoft a depuis révélé que certaines boîtes de réception de clients avaient également été consultées par APT29 suite au piratage révélé plus tôt cette année, selon les rapports de Bloomberg et Reuters.
« Cette semaine, nous continuons à envoyer des notifications aux clients qui ont correspondu avec des comptes de messagerie d’entreprise Microsoft qui ont été exfiltrés par l’acteur malveillant Midnight Blizzard », a déclaré le géant de la technologie à l’agence de presse.
L’attaque est officiellement attribuée à APT29
TeamViewer, dans un mise à jour Vendredi, a attribué l’attaque à APT29, affirmant qu’elle ciblait les informations d’identification associées à un compte d’employé au sein de son environnement informatique d’entreprise.
« Grâce à une surveillance continue de la sécurité, nos équipes ont identifié un comportement suspect sur ce compte et ont immédiatement mis en œuvre des mesures de réponse aux incidents », a-t-il indiqué dans une alerte révisée. « Rien ne prouve que l’acteur de la menace ait eu accès à notre environnement produit ou aux données client. »
Le groupe NCC, qui a été le premier à alerter de la violation via une divulgation limitée en raison de l’utilisation généralisée du logiciel, a recommandé la suppression du logiciel « jusqu’à ce que de plus amples détails soient connus sur le type de compromission auquel TeamViewer a été soumis ».