Le développeur de logiciels RMM, TeamViewer, a déclaré qu’un groupe de piratage parrainé par l’État russe connu sous le nom de Midnight Blizzard serait à l’origine d’une violation de son réseau d’entreprise cette semaine.

Hier, Breachtrace a signalé que TeamViewer avait été piraté et que des experts en cybersécurité et des organisations de santé avaient commencé à avertir les clients et les organisations de surveiller leurs connexions.

TeamViewer est largement utilisé par les entreprises et les consommateurs pour la surveillance et la gestion à distance (RMM) des appareils sur les réseaux internes. Comme la portée de l’incident de cybersécurité n’était pas connue, les experts ont commencé à avertir les parties prenantes de surveiller les connexions suspectes qui pourraient indiquer que des acteurs de la menace tentent d’utiliser la violation de TeamViewer pour accéder à d’autres réseaux.

Aujourd’hui, TeamViewer a partagé une déclaration mise à jour avec Breachtrace , indiquant qu’ils attribuent l’attaque à Midnight Blizzard (APT29, Nobelium, Cozy Bear).

TeamViewer dit qu’ils pensent que leur réseau d’entreprise interne, et non leur environnement de production, a été piraté le mercredi 26 juin, à l’aide des informations d’identification d’un employé.

« Les résultats actuels de l’enquête indiquent une attaque le mercredi 26 juin, liée aux informations d’identification d’un compte d’employé standard au sein de notre environnement informatique d’entreprise », lit-on dans la déclaration mise à jour de TeamViewer.

« Sur la base d’une surveillance continue de la sécurité, nos équipes ont identifié les comportements suspects de ce compte et ont immédiatement mis en œuvre des mesures de réponse aux incidents. Avec notre support externe de réponse aux incidents, nous attribuons actuellement cette activité à l’acteur de la menace connu sous le nom d’APT29 / Midnight Blizzard. »

L’entreprise a souligné que son enquête n’avait montré aucune indication que l’environnement de production ou les données des clients avaient été consultés lors de l’attaque et qu’elle maintenait son réseau d’entreprise et son environnement de produits isolés les uns des autres.

« Conformément à l’architecture des meilleures pratiques, nous avons mis en place une forte ségrégation de l’informatique d’entreprise, de l’environnement de production et de la plate-forme de connectivité TeamViewer », poursuit la déclaration de TeamViewer.

« Cela signifie que nous gardons tous les serveurs, réseaux et comptes strictement séparés pour aider à empêcher les accès non autorisés et les mouvements latéraux entre les différents environnements. Cette ségrégation est l’une des multiples couches de protection de notre approche de « défense en profondeur ». »

Bien que cela soit rassurant pour les clients de TeamViewer, il est courant dans de tels incidents que de plus amples informations soient publiées ultérieurement au fur et à mesure que l’enquête progresse. Cela est particulièrement vrai pour un acteur de la menace aussi avancé que Midnight Blizzard.

Par conséquent, il est recommandé à tous les clients TeamViewer d’activer l’authentification multifacteur, de configurer une liste d’autorisation et de blocage afin que seuls les utilisateurs autorisés puissent établir des connexions et de surveiller leurs connexions réseau et leurs journaux TeamViewer.

Breachtrace a contacté TeamViewer avec d’autres questions sur qui participe à l’enquête et comment les informations d’identification des employés ont été compromises, mais n’a pas reçu de réponse pour le moment.

Blizzard de Minuit
Midnight Blizzard (alias Cozy Bear, Nobelium et APT29) est un groupe de piratage avancé parrainé par l’État qui serait associé au Service de renseignement extérieur russe (SVR).

Les acteurs de la menace ont été liés à une grande variété d’attaques, principalement associées au cyberespionnage, dans lesquelles ils violent les réseaux des gouvernements et des entreprises pour voler silencieusement des données et surveiller les communications.

Le gouvernement américain a lié le groupe de piratage à la tristement célèbre attaque de la chaîne d’approvisionnement de SolarWinds en 2020, au cours de laquelle les acteurs de la menace ont violé l’entreprise pour accéder à son environnement de développement. À partir de là, ils ont ajouté une porte dérobée malveillante à un fichier DLL Windows qui a ensuite été transmis aux clients de SolarWinds lors d’une attaque de la chaîne d’approvisionnement via une plate-forme de mise à jour automatique.

Cette DLL a permis aux acteurs de la menace de surveiller les cibles de grande valeur, de violer les réseaux et de voler des données de leurs environnements.

Plus récemment, Midnight Blizzard s’est tourné vers Microsoft dans une série de cyberattaques réussies.

En 2023, les auteurs de la menace ont piraté les comptes Exchange Online d’entreprise de Microsoft pour surveiller et voler les courriels des équipes de direction, de cybersécurité et juridiques de l’entreprise. D’un intérêt particulier, Microsoft dit qu’ils ont initialement ciblé les comptes de messagerie pour trouver des informations les concernant.

En mars 2024, Microsoft a déclaré que les auteurs de la menace avaient de nouveau violé leurs systèmes en utilisant des secrets trouvés dans les courriels volés lors de l’incident précédent.

Midnight Blizzard a accédé à certains de ses systèmes internes et référentiels de code source dans le cadre de cette violation.

Dans les deux incidents, les auteurs de la menace ont utilisé des attaques par pulvérisation de mots de passe pour violer les comptes d’entreprise, puis ont utilisé ces comptes comme tremplin vers d’autres comptes et appareils dans les systèmes ciblés.

Microsoft avait précédemment partagé des conseils pour répondre et enquêter sur les attaques de Midnight Blizzard.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *