Ciberseguridad 360 | La red corporativa de TeamViewer fue vulnerada por un ataque APT

TeamViewer ha revelado este jueves que detect� una "irregularidad" en su entorno inform�tico corporativo interno el 26 de junio de 2024.

"Inmediatamente activamos nuestro equipo y procedimientos de respuesta, iniciamos las investigaciones junto con un equipo de expertos en ciberseguridad de renombre mundial y aplicamos las medidas correctoras necesarias", declar� la empresa en un comunicado.

Adem�s, se�al� que su entorno inform�tico corporativo est� completamente aislado del entorno del producto y que no hay pruebas que indiquen que los datos de ning�n cliente se hayan visto afectados como consecuencia del incidente.

No ha revelado detalles sobre qui�n ha podido estar detr�s de la intrusi�n y c�mo ha podido llevarla a cabo, pero ha afirmado que se est� llevando a cabo una investigaci�n y que informar� de la situaci�n a medida que se disponga de nueva informaci�n.

TeamViewer, con sede en Alemania, es el fabricante de software de supervisi�n y gesti�n remotas (RMM) que permite a los proveedores de servicios gestionados (MSP) y a los departamentos de TI gestionar servidores, estaciones de trabajo, dispositivos de red y puntos finales. Lo utilizan m�s de 600.000 clientes.

Curiosamente, el Centro de An�lisis e Intercambio de Informaci�n Sanitaria de Estados Unidos (Health-ISAC) ha emitido un bolet�n sobre la explotaci�n activa de TeamViewer por parte de actores de amenazas, seg�n la Asociaci�n Americana de Hospitales (AHA).

"Se ha observado a agentes de amenazas utilizando herramientas de acceso remoto", afirma la organizaci�n sin �nimo de lucro. "Se ha observado que Teamviewer est� siendo explotado por actores de amenazas asociados con APT29".

Por el momento no est� claro si esto significa que los atacantes est�n abusando de las deficiencias de TeamViewer para vulnerar las redes de los clientes, utilizando malas pr�cticas de seguridad para infiltrarse en los objetivos y desplegar el software, o que han llevado a cabo un ataque contra los propios sistemas de TeamViewer.

APT29, tambi�n conocido como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard y The Dukes, es un actor de amenazas patrocinado por el Estado y afiliado al Servicio de Inteligencia Exterior de Rusia (SVR). Recientemente, se le ha relacionado con los ataques a Microsoft y Hewlett Packard Enterprise (HPE).

Desde entonces, Microsoft ha revelado que APT29 tambi�n accedi� a algunos buzones de correo electr�nico de clientes tras el ataque que sali� a la luz a principios de este a�o, seg�n informan Bloomberg y Reuters.

"Esta semana seguimos enviando notificaciones a los clientes con cuentas de correo electr�nico corporativo de Microsoft que fueron filtradas por el actor de la amenaza Midnight Blizzard", dijo el gigante tecnol�gico a la agencia de noticias.

Ataque atribuido oficialmente a APT29

TeamViewer, en una actualizaci�n del viernes, atribuy� el ataque a APT29, afirmando que se dirigi� a las credenciales asociadas con una cuenta de empleado dentro de su entorno corporativo de TI.

"Bas�ndose en la supervisi�n continua de la seguridad, nuestros equipos identificaron un comportamiento sospechoso de esta cuenta y pusieron inmediatamente en marcha medidas de respuesta a incidentes", se�al� en una alerta revisada. "No hay pruebas de que el actor de la amenaza obtuviera acceso a nuestro entorno de productos o datos de clientes".

NCC Group, que alert� por primera vez de la brecha a trav�s de una divulgaci�n limitada debido al uso generalizado del software, ha recomendado la eliminaci�n del software "hasta que se conozcan m�s detalles sobre el tipo de compromiso al que se ha visto sometido TeamViewer."

Fuente: thehackernews