La société de logiciels d’accès à distance TeamViewer avertit que son environnement d’entreprise a été violé lors d’une cyberattaque hier, une entreprise de cybersécurité affirmant que c’était par un groupe de piratage APT.
« Le mercredi 26 juin 2024, notre équipe de sécurité a détecté une irrégularité dans l’environnement informatique interne de l’entreprise de TeamViewer », a déclaré TeamViewer dans un message à son Centre de confiance.
« Nous avons immédiatement activé notre équipe d’intervention et nos procédures, lancé des enquêtes avec une équipe d’experts en cybersécurité de renommée mondiale et mis en œuvre les mesures correctives nécessaires. »
« L’environnement informatique interne de l’entreprise de TeamViewer est totalement indépendant de l’environnement du produit. Il n’y a aucune preuve suggérant que l’environnement du produit ou les données des clients sont affectés. Des enquêtes sont en cours et notre objectif principal reste d’assurer l’intégrité de nos systèmes. »
La société affirme qu’elle prévoit d’être transparente sur la violation et mettra continuellement à jour l’état de son enquête à mesure que de plus amples informations seront disponibles.
Cependant, bien qu’ils disent vouloir être transparents, la page « Mise à jour de sécurité informatique de TeamViewer » contient une balise HTML , qui empêche le document d’être indexé par les moteurs de recherche et donc difficile à trouver.
TeamViewer est un logiciel d’accès à distance très populaire qui permet aux utilisateurs de contrôler à distance un ordinateur et de l’utiliser comme s’ils étaient assis devant l’appareil. La société affirme que son produit est actuellement utilisé par plus de 640 000 clients dans le monde et a été installé sur plus de 2,5 milliards d’appareils depuis son lancement.
Bien que TeamViewer déclare qu’il n’y a aucune preuve que son environnement de produit ou ses données client aient été violés, son utilisation massive dans les environnements grand public et d’entreprise fait de toute violation une préoccupation importante car elle fournirait un accès complet aux réseaux internes.
Groupe APT présumé à l’origine de l’attaque
La nouvelle de la violation a été signalée pour la première fois sur Mastodon par Jeffrey, professionnel de la sécurité informatique, qui a partagé des parties d’une alerte partagée sur le Dutch Digital Trust Center, un portail Web utilisé par le gouvernement, des experts en sécurité et des entreprises néerlandaises pour partager des informations sur les menaces de cybersécurité.
« L’équipe mondiale de renseignements sur les menaces du Groupe NCC a été informée d’une compromission importante de la plate-forme d’accès et de support à distance TeamViewer par un groupe APT », prévient une alerte de la société de sécurité informatique NCC Group.
« En raison de l’utilisation généralisée de ce logiciel, l’alerte suivante est diffusée en toute sécurité à nos clients. »
Une alerte de Health-ISAC, une communauté permettant aux professionnels de la santé de partager des renseignements sur les menaces, a également averti aujourd’hui que les services TeamViewer auraient été activement ciblés par le groupe de piratage russe APT29, également connu sous le nom de Cozy Bear, NOBELIUM et Midnight Blizzard.
« Le 27 juin 2024, Health-ISAC a reçu des informations d’un partenaire de renseignement de confiance selon lesquelles APT29 exploite activement Teamviewer », peut-on lire dans l’alerte Health-ISAC partagée par Jeffrey.
« Health-ISAC recommande d’examiner les journaux pour tout trafic de bureau à distance inhabituel. Des acteurs de la menace ont été observés en train de tirer parti des outils d’accès à distance. Teamviewer a été observé en train d’être exploité par des acteurs de la menace associés à APT29. »
APT29 est un groupe de menaces persistantes avancées russe lié au Service de renseignement extérieur russe (SVR). Le groupe de piratage est connu pour ses capacités de cyberespionnage et a été lié à de nombreuses attaques au fil des ans, y compris des attaques contre des diplomates occidentaux et une récente violation de l’environnement de messagerie d’entreprise de Microsoft.
Bien que les alertes des deux sociétés arrivent aujourd’hui, tout comme TeamViewer a révélé l’incident, il n’est pas clair si elles sont liées car les alertes de TeamViewer et de NCC traitent de la violation de l’entreprise, tandis que l’alerte Health-ISAC se concentre davantage sur le ciblage des connexions TeamViewer.
Breachtrace a contacté TeamViewer avec des questions sur l’attaque, mais on lui a dit qu’aucune autre information ne serait partagée pendant qu’ils enquêtaient sur l’incident.