Le logiciel d’accès à distance TeamViewer a averti que son environnement d’entreprise a été compromis lors d’une cyberattaque hier, une firme de cybersécurité affirmant qu’il s’agissait d’un groupe de piratage APT.
Le 26 juin 2024, notre équipe de sécurité a détecté une irrégularité dans l’environnement informatique interne de TeamViewer”, a déclaré TeamViewer dans un message sur son Centre de confiance.
“Nous avons immédiatement activé notre équipe de réponse et nos procédures, lancé des enquêtes avec une équipe d’experts mondialement reconnus en cybersécurité et mis en place les mesures de remédiation nécessaires.”
“TeamViewer’s internal corporate IT environment is completely independent from the product environment. There is no evidence to suggest that the product environment or customer data is affected. Investigations are ongoing and our primary focus remains to ensure the integrity of our systems.”
La société prévoit d’être transparente sur la violation et mettra à jour en continu l’état de son enquête à mesure que de nouvelles informations seront disponibles.
Cependant, bien qu’ils affirment viser la transparence, la page "" contient une balise HTML, ce qui empêche le document d’être indexé par les moteurs de recherche et donc difficile à trouver.
TeamViewer est un logiciel d’accès à distance très populaire qui permet aux utilisateurs de contrôler à distance un ordinateur et de l’utiliser comme s’ils étaient assis devant l’appareil. La société affirme que son produit est actuellement utilisé par plus de 640 000 clients dans le monde entier et a été installé sur plus de 2,5 milliards d’appareils depuis le lancement de l’entreprise.
Alors que TeamViewer affirme qu’il n’y a pas de preuves que son environnement produit ou les données des clients ont été compromises, son utilisation massive dans les environnements grand public et d’entreprise rend toute violation préoccupante car elle fournirait un accès complet aux réseaux internes.
En 2019, TeamViewer a été lié à des acteurs de menace chinois en raison de leur utilisation de la porte dérobée Winnti. La société a déclaré qu’elle n’avait pas divulgué la violation à l’époque car aucune donnée n’avait été volée lors de l’attaque.
Des nouvelles de la violation ont été partagées sur Mastodon par le professionnel de la sécurité informatique Jeffrey, qui a partagé des portions d’une alerte partagée sur le Dutch Digital Trust Center, un portail web utilisé par le gouvernement, les experts en sécurité et les entreprises néerlandaises pour partager des informations sur les menaces en cybersécurité.
Une alerte de Health-ISAC, une communauté de professionnels de la santé pour partager des renseignements sur les menaces, a également averti aujourd’hui que les services de TeamViewer étaient prétendument activement ciblés par le groupe de piratage russe APT29, également connu sous le nom de Cozy Bear, NOBELIUM et Midnight Blizzard.
“Le 27 juin 2024, Health-ISAC a reçu des informations d’un partenaire de renseignement de confiance selon lesquelles APT29 exploite activement TeamViewer”, lit-on dans l’alerte de Health-ISAC partagée par Jeffrey.
“Health-ISAC recommande de vérifier les journaux pour tout trafic inhabituel de bureau à distance. Les acteurs de menace ont été observés exploitant des outils d’accès à distance. TeamViewer a été observé être exploité par des acteurs de menace associés à APT29.”
APT29 est un groupe de menace persistante avancée russe lié au Service de renseignement extérieur de la Russie (SVR). Le groupe de piratage est connu pour ses capacités de cyberespionnage et a été impliqué dans plusieurs attaques, y compris une contre le Comité national démocrate et une contre le gouvernement norvégien.
Alors que les alertes des deux entreprises sont arrivées aujourd’hui, juste après que TeamViewer ait divulgué l’incident, il n’est pas clair s’ils sont liés car les alertes de TeamViewer et de NCC traitent de la violation d’entreprise, tandis que l’alerte de Health-ISAC se concentre davantage sur le ciblage des connexions TeamViewer.
BleepingComputer a également contacté TeamViewer avec des questions sur l’attaque, mais on nous a dit qu’aucune information supplémentaire ne serait partagée pendant l’enquête.
Mise à jour 27/06/24: NCC Group a déclaré à BleepingComputer qu’ils n’avaient rien de plus à ajouter lorsqu’ils ont été contactés pour plus d’informations.
“En tant que partie de notre service de renseignement sur les menaces à nos clients, nous émettons régulièrement des alertes basées sur une variété de sources et d’intelligence”, a déclaré NCC Group à BleepingComputer.
“À l’heure actuelle, nous n’avons rien de plus à ajouter à l’alerte qui a été envoyée à nos clients.”
Mise à jour 28/06/24: TeamViewer a dit à BleepingComputer qu’ils avaient supprimé la balise noindex de leur Centre de confiance et qu’elle devrait bientôt être indexée par les moteurs de recherche.