Il russo APT 29 ha compromesso TeamViewer e altre Big Tech

TeamViewer, uno dei maggiori provider di soluzioni innovative per la connettività e il supporto remoto è stato preso di mira dall’avversario state-sponsored russo APT 29.

La notizia è stata diffusa venerdì 27 giugno, sia dalla società tedesca che da altre fonti. Il primo statement ufficiale rilasciato da TeamViewer riferiva di attività anomale rilevate il 26 giugno nell’ambiente IT aziendale interno e rassicurava sul fatto che quell’ambiente è del tutto indipendente rispetto a quello del prodotto. Inoltre, chiariva che non sussistevano elementi che facessero sospettare l’esposizione dei dati dei clienti.

Contestualmente, un esperto di cybersecurity ha segnalato il breach sulla piattaforma di microblogging Mastodon, senza far riferimento agli ipotetici responsabili. Inoltre, la non-profit Health-ISAC (Health Information Sharing and Analysis Center) ha messo in guardia sullo sfruttamento della soluzione TeamViewer, che stava avvenendo proprio in quei giorni da parte di APT 29. Nell’avviso si legge che il Centro ha ricevuto l’informazione da un partner di intelligence di fiducia.

Il 28 giugno, TeamViewer ha pubblicato un Security Update nel quale si specifica che l’attacco era legato alle credenziali di un account standard di un dipendente e si conferma l’attribuzione all’APT finanziato da Mosca. Successivamente, la compagnia ha aggiunto che l’avversario ha sfruttato tale account compromesso per copiare i dati della directory dei dipendenti, ovvero nomi, informazioni di contatto aziendali e password dei dipendenti crittografate per l’ambiente IT aziendale interno.

TeamViewer ha base a Göppingen, nel sud della Germania, e le sue sedi in tutto il mondo impiegano circa 1.500 lavoratori. I clienti business dichiarati sono circa 640.000 e si stima che il suo software di punta sia stato scaricato per usi non commerciali su centinaia di milioni di dispositivi, a livello globale.

L’incidente non costituisce un caso isolato, ma si aggiunge ad una serie di offensive attribuite ad APT 29 che negli ultimi mesi hanno impattato realtà top level del settore tecnologico. A maggio 2023, il gruppo legato al Foreign Intelligence Service di Mosca ha avuto accesso a caselle e-mail di HPE (Hewlett Packard Enterprise), utilizzate in settori interni come la cybersecurity e il go-to-market. Inoltre, nel novembre dello stesso anno, ha compromesso Microsoft, riuscendo ad accedere ad account aziendali di posta elettronica associati a figure dirigenziali o con funzioni critiche.

Il caso Microsoft ha avuto strascichi fino agli inizi di luglio 2024, quando è emerso che la Big Tech stava inviando notifiche a tutti coloro che avevano scambiato corrispondenze con i propri account aziendali, avvertendo che l’attaccante era riuscito a visionare ed esfiltrare i messaggi. Sebbene non sia mai stato rivelato il reale impatto della violazione, il considerevole numero di utenti social che ha condiviso screenshot della segnalazione induce ad ipotizzare conseguenze non trascurabili.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.