Het bedrijf voor software voor externe toegang, TeamViewer, waarschuwt dat zijn zakelijke omgeving gisteren is gecompromitteerd tijdens een cyberaanval, en een cybersecuritybedrijf beweert dat dit door een APT-hackgroep is gedaan.

“Op woensdag 26 juni 2024 ontdekte ons veiligheidsteam een onregelmatigheid in de interne zakelijke IT-omgeving van TeamViewer,” zei TeamViewer in een bericht op zijn Trust Center.

“We hebben onmiddellijk ons responsteam en procedures geactiveerd, onderzoeken gestart samen met een team van wereldwijd gerenommeerde cybersecurity-experts en de noodzakelijke herstelmaatregelen geïmplementeerd.”

“De interne zakelijke IT-omgeving van TeamViewer staat volledig los van de productomgeving. Er is geen bewijs dat suggereert dat de productomgeving of klantgegevens zijn aangetast. De onderzoeken zijn nog gaande en onze primaire focus blijft het waarborgen van de integriteit van onze systemen.”

Het bedrijf zegt dat het van plan is transparant te zijn over de inbreuk en zal de status van zijn onderzoek continu bijwerken zodra er meer informatie beschikbaar komt.

Echter, hoewel ze zeggen dat ze transparant willen zijn, bevat de pagina “TeamViewer IT-beveiligingsupdate” een HTML-tag, die voorkomt dat het document door zoekmachines wordt geïndexeerd en dus moeilijk te vinden is.

TeamViewer is een zeer populaire software voor externe toegang waarmee gebruikers op afstand een computer kunnen bedienen en deze kunnen gebruiken alsof ze voor het apparaat zitten. Het bedrijf zegt dat zijn product momenteel door meer dan 640.000 klanten wereldwijd wordt gebruikt en sinds de lancering op meer dan 2,5 miljard apparaten is geïnstalleerd.

Hoewel TeamViewer stelt dat er geen bewijs is dat zijn productomgeving of klantgegevens zijn gecompromitteerd, maakt het enorme gebruik ervan in zowel consumenten- als zakelijke omgevingen elke inbreuk een significante zorg, omdat het volledige toegang zou verlenen tot interne netwerken.

Beweerde APT-groep achter aanval

Het nieuws over de inbreuk werd voor het eerst gerapporteerd op Mastodon door IT-beveiligingsprofessional Jeffrey, die delen van een waarschuwing deelde die was verspreid op het Dutch Digital Trust Center, een webportaal dat door de overheid, beveiligingsexperts en Nederlandse bedrijven wordt gebruikt om informatie over cyberbeveiligingsbedreigingen te delen.

“Het NCC Group Global Threat Intelligence team is op de hoogte gebracht van een significante inbreuk op het TeamViewer-remote access- en ondersteuningsplatform door een APT-groep,” waarschuwt een waarschuwing van het IT-beveiligingsbedrijf NCC Group.

“Vanwege het wijdverspreide gebruik van deze software wordt de volgende waarschuwing veilig verspreid onder onze klanten.”

Een waarschuwing van Health-ISAC, een gemeenschap voor gezondheidsprofessionals om dreigingsinformatie te delen, waarschuwde vandaag ook dat TeamViewer-diensten naar verluidt actief werden aangevallen door de Russische hackgroep APT29, ook bekend als Cozy Bear.

“Op 27 juni 2024 ontving Health-ISAC informatie van een vertrouwde inlichtingenpartner dat APT29 actief misbruik maakt van TeamViewer,” luidt de Health-ISAC-waarschuwing die door Jeffrey werd gedeeld.

“Health-ISAC beveelt aan om logs te controleren op ongebruikelijk remote desktop-verkeer. Dreigingsactoren zijn waargenomen bij het gebruik van hulpmiddelen voor extern beheer. TeamViewer is waargenomen als zijnde uitgebuit door dreigingsactoren die verband houden met APT29.”

APT29 is een Russische groep voor geavanceerde aanhoudende bedreigingen die is verbonden aan de Russische Buitenlandse Inlichtingendienst (SVR). De hackgroep is door de jaren heen in verband gebracht met tal van aanvallen, waaronder aanvallen op westerse diplomaten en een recente inbreuk op de omvangrijke e-mailomgeving van Microsoft.

Hoewel de waarschuwingen van beide bedrijven vandaag komen, net nu TeamViewer het incident openbaar maakte, is het onduidelijk of ze verband houden met elkaar, aangezien de waarschuwingen van TeamViewer en NCC betrekking hebben op de zakelijke inbreuk, terwijl de Health-ISAC-waarschuwing zich meer richt op het doelgericht aanvallen van TeamViewer-verbindingen.

BleepingComputer heeft contact opgenomen met TeamViewer met vragen over de aanval, maar kreeg te horen dat er geen verdere informatie zou worden gedeeld terwijl ze het incident onderzochten.

NCC Group heeft niet gereageerd op onze verzoeken om meer informatie over de inbreuk en de link met APT29.