La red corporativa de TeamViewer fue vulnerada en un presunto hackeo de APT

Iniciado por AXCESS, Junio 28, 2024, 03:57:05 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 28, 2024, 03:57:05 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa de software de acceso remoto TeamViewer advierte que su entorno corporativo fue vulnerado ayer en un ciberataque, y una empresa de ciberseguridad afirmó que fue perpetrado por un grupo de piratas informáticos APT.

"El miércoles 26 de junio de 2024, nuestro equipo de seguridad detectó una irregularidad en el entorno de TI corporativo interno de TeamViewer", dijo TeamViewer en una publicación en su Centro de confianza.

"Inmediatamente activamos nuestro equipo de respuesta y nuestros procedimientos, iniciamos investigaciones junto con un equipo de expertos en ciberseguridad de renombre mundial e implementamos las medidas correctivas necesarias".

"El entorno de TI corporativo interno de TeamViewer es completamente independiente del entorno del producto. No hay evidencia que sugiera que el entorno del producto o los datos del cliente se vean afectados. Las investigaciones están en curso y nuestro enfoque principal sigue siendo garantizar la integridad de nuestros sistemas".

La compañía dice que planea ser transparente sobre la violación y actualizará continuamente el estado de su investigación a medida que haya más información disponible.

Sin embargo, aunque dicen que su objetivo es ser transparente, la página "Actualización de seguridad de TI de TeamViewer" contiene una etiqueta HTML <meta name="robots" content="noindex">, que evita que los motores de búsqueda indexen el documento y, por lo tanto, dificulta la indexación. encontrar.

TeamViewer es un software de acceso remoto muy popular que permite a los usuarios controlar de forma remota una computadora y usarla como si estuvieran sentados frente al dispositivo. La compañía afirma que su producto es utilizado actualmente por más de 640.000 clientes en todo el mundo y se ha instalado en más de 2.500 millones de dispositivos desde el lanzamiento de la empresa.

Si bien TeamViewer afirma que no hay evidencia de que el entorno de su producto o los datos de sus clientes hayan sido violados, su uso masivo tanto en entornos corporativos como de consumidores hace que cualquier violación sea una preocupación importante, ya que proporcionaría acceso completo a las redes internas.

En 2019, TeamViewer confirmó una infracción de 2016 vinculada a actores de amenazas chinos debido a su uso de la puerta trasera Winnti. La compañía dijo que no revelaron la violación en ese momento porque no se robaron datos en el ataque.

Presunto grupo APT detrás del ataque

La noticia de la violación fue reportada por primera vez en Mastodon por el profesional de seguridad de TI Jeffrey, quien compartió partes de una alerta compartida en el Dutch Digital Trust Center, un portal web utilizado por el gobierno, expertos en seguridad y corporaciones holandesas para compartir información sobre amenazas a la ciberseguridad.

"El equipo de NCC Group Global Threat Intelligence ha sido informado de un compromiso significativo de la plataforma de soporte y acceso remoto TeamViewer por parte de un grupo APT", advierte una alerta de la firma de seguridad informática NCC Group.

"Debido al uso generalizado de este software, la siguiente alerta se distribuye de forma segura a nuestros clientes".

Una alerta de Health-ISAC, una comunidad para que los profesionales de la salud compartan inteligencia sobre amenazas, también advirtió hoy que los servicios de TeamViewer supuestamente estaban siendo atacados activamente por el grupo de piratería ruso APT29, también conocido como Cozy Bear, NOBELIUM y Midnight Blizzard.

"El 27 de junio de 2024, Health-ISAC recibió información de un socio de inteligencia confiable de que APT29 está explotando activamente Teamviewer", se lee en la alerta de Health-ISAC compartida por Jeffrey.

"Health-ISAC recomienda revisar los registros para detectar cualquier tráfico inusual en el escritorio remoto. Se ha observado que los actores de amenazas aprovechan herramientas de acceso remoto. Se ha observado que Teamviewer es explotado por actores de amenazas asociados con APT29".

APT29 es un grupo ruso de amenaza persistente avanzada vinculado al Servicio de Inteligencia Exterior (SVR) de Rusia. El grupo de hackers es conocido por sus capacidades de ciberespionaje y ha sido vinculado a numerosos ataques a lo largo de los años, incluidos ataques a diplomáticos occidentales y una reciente violación del entorno de correo electrónico corporativo de Microsoft.

Si bien las alertas de ambas compañías llegan hoy, justo cuando TeamViewer reveló el incidente, no está claro si están vinculadas, ya que las alertas de TeamViewer y NCC abordan la infracción corporativa, mientras que la alerta Health-ISAC se centra más en las conexiones de TeamViewer.

NCC Group declaró que no tenían nada más que agregar cuando los contactaron para obtener más información.

"Como parte de nuestro servicio Threat Intelligence para nuestros clientes, emitimos alertas periódicamente basadas en una variedad de fuentes e inteligencia", dijo NCC Group.

"En este momento, no tenemos nada más que agregar a la alerta que se envió a nuestros clientes".

BleepingComputer también se puso en contacto con TeamViewer con preguntas sobre el ataque, pero le dijeron que no se compartiría más información mientras investigaban el incidente.

Actualización 27/06/24: Declaración agregada del Grupo NCC.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario