Das Unternehmen für Fernzugriffssoftware TeamViewer warnt, dass sein Unternehmensnetzwerk gestern bei einem Cyberangriff kompromittiert wurde. Eine Cybersicherheitsfirma vermutet, dass eine APT-Hackergruppe dahinter steckt.
„Am Mittwoch, dem 26. Juni 2024, entdeckte unser Sicherheitsteam eine Unregelmäßigkeit in der internen IT-Umgebung von TeamViewer“, teilte das Unternehmen in einem Beitrag auf seinem Trust Center mit. „Wir haben sofort unser Reaktionsteam und die entsprechenden Verfahren aktiviert, Untersuchungen zusammen mit einem Team weltweit anerkannter Cybersicherheitsexperten eingeleitet und notwendige Abhilfemaßnahmen umgesetzt.“
Unabhängigkeit der Produktumgebung
TeamViewer betont, dass die interne Unternehmens-IT-Umgebung vollständig von der Produktumgebung unabhängig ist. „Es gibt keine Hinweise darauf, dass die Produktumgebung oder Kundendaten betroffen sind. Die Untersuchungen laufen noch und unser Hauptaugenmerk liegt weiterhin auf der Sicherstellung der Integrität unserer Systeme.“
Das Unternehmen plant, transparent über den Vorfall zu informieren und wird den Status der Untersuchung kontinuierlich aktualisieren, sobald mehr Informationen verfügbar sind. Allerdings enthält die Seite „TeamViewer IT Security Update“ ein <meta name=“robots“ content=“noindex“> HTML-Tag, was verhindert, dass das Dokument von Suchmaschinen indexiert wird und somit schwer zu finden ist.
Weit verbreitete Nutzung von TeamViewer
TeamViewer ist eine sehr beliebte Fernzugriffssoftware, die es Benutzern ermöglicht, einen Computer aus der Ferne zu steuern und zu nutzen, als säßen sie direkt davor. Das Unternehmen gibt an, dass sein Produkt derzeit von über 640.000 Kunden weltweit genutzt wird und seit der Unternehmensgründung auf über 2,5 Milliarden Geräten installiert wurde.
Obwohl TeamViewer angibt, dass es keine Hinweise darauf gibt, dass die Produktumgebung oder Kundendaten kompromittiert wurden, ist ein solcher Vorfall aufgrund der weit verbreiteten Nutzung sowohl im privaten als auch im geschäftlichen Bereich von erheblicher Bedeutung, da er vollständigen Zugang zu internen Netzwerken bieten könnte.
Frühere Vorfälle
Im Jahr 2019 bestätigte TeamViewer einen Einbruch aus dem Jahr 2016, der mit chinesischen Bedrohungsakteuren in Verbindung stand, die die Winnti-Backdoor nutzten. Das Unternehmen gab an, den Einbruch damals nicht offengelegt zu haben, da keine Daten gestohlen wurden.
Mutmaßliche APT-Gruppe hinter dem Angriff
Die Nachricht von dem Einbruch wurde erstmals auf Mastodon von dem IT-Sicherheitsexperten Jeffrey berichtet, der Teile einer Warnung teilte, die auf dem Dutch Digital Trust Center, einem Webportal der Regierung, von Sicherheitsexperten und niederländischen Unternehmen zur Information über Cyberbedrohungen verwendet wird.
„Das NCC Group Global Threat Intelligence Team wurde über eine signifikante Kompromittierung der TeamViewer-Fernzugriffs- und Supportplattform durch eine APT-Gruppe informiert“, warnt eine Mitteilung der IT-Sicherheitsfirma NCC Group. „Aufgrund der weit verbreiteten Nutzung dieser Software wird die folgende Warnung sicher an unsere Kunden weitergegeben.“
Eine Warnung der Health-ISAC, einer Gemeinschaft für Gesundheitsfachkräfte zum Austausch von Bedrohungsinformationen, warnte ebenfalls, dass TeamViewer-Dienste angeblich aktiv von der russischen Hackergruppe APT29, auch bekannt als Cozy Bear, NOBELIUM und Midnight Blizzard, angegriffen werden.
„Am 27. Juni 2024 erhielt Health-ISAC Informationen von einem vertrauenswürdigen Geheimdienstpartner, dass APT29 TeamViewer aktiv ausnutzt“, heißt es in der Health-ISAC-Warnung, die von Jeffrey geteilt wurde. „Health-ISAC empfiehlt, Protokolle auf ungewöhnlichen Remote-Desktop-Verkehr zu überprüfen. Bedrohungsakteure wurden dabei beobachtet, wie sie Fernzugriffstools nutzen. TeamViewer wurde von Bedrohungsakteuren, die mit APT29 in Verbindung stehen, ausgenutzt.“
APT29 ist eine russische Advanced Persistent Threat (APT)-Gruppe, die mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung steht. Die Hackergruppe ist für ihre Cyber-Spionage-Fähigkeiten bekannt und wurde in den letzten Jahren mit zahlreichen Angriffen in Verbindung gebracht, darunter Angriffe auf westliche Diplomaten und ein kürzlicher Einbruch in die Unternehmens-E-Mail-Umgebung von Microsoft.
Während die Warnungen beider Unternehmen heute veröffentlicht wurden, gleichzeitig mit der Offenlegung des Vorfalls durch TeamViewer, ist unklar, ob sie miteinander verbunden sind, da die Warnungen von TeamViewer und NCC die Unternehmenskompromittierung betreffen, während die Health-ISAC-Warnung sich mehr auf die Ausnutzung von TeamViewer-Verbindungen konzentriert.
NCC Group teilte mit, dass sie zum jetzigen Zeitpunkt keine weiteren Informationen zu dem Vorfall hätten. TeamViewer erklärte, dass keine weiteren Informationen mitgeteilt würden, da die Untersuchung des Vorfalls noch andauert.
4o