La empresa de software de acceso remoto TeamViewer ha informado sobre una brecha en su entorno corporativo debido a un ciberataque, atribuido por una firma de ciberseguridad a un grupo de hackers APT (Advanced Persistent Threat).
El miércoles 26 de junio de 2024, el equipo de seguridad de TeamViewer detectó una irregularidad en su entorno de TI interno. Inmediatamente se activaron los procedimientos de respuesta y se iniciaron investigaciones junto con expertos de ciberseguridad de renombre mundial, implementando las medidas de prevención necesarias.
TeamViewer asegura que su entorno de TI corporativo es completamente independiente del entorno del producto y no hay evidencia de que éste o los datos de los clientes hayan sido afectados. Las investigaciones continúan, y la prioridad sigue siendo garantizar la integridad de sus sistemas.
La empresa se compromete a ser transparente sobre la brecha y actualizará continuamente el estado de la investigación a medida que haya más información disponible. Sin embargo, la página de actualización de seguridad de TI de TeamViewer contiene una etiqueta HTML <meta name="robots" content="noindex">, lo que impide que el documento sea indexado por motores de búsqueda, dificultando su localización.
TeamViewer es un software de acceso remoto muy popular, utilizado por más de 640,000 clientes en todo el mundo y ha sido instalado en más de 2.5 mil millones de dispositivos desde su lanzamiento. A pesar de que la empresa afirma que no hay evidencia de que el entorno del producto o los datos de los clientes hayan sido comprometidos, su uso masivo en entornos tanto de consumo como corporativos hace que cualquier brecha sea una preocupación significativa, ya que proporcionaría acceso completo a las redes internas.
En 2019, TeamViewer confirmó una brecha en 2016 vinculada a actores de amenazas chinos debido al uso del backdoor Winnti. La empresa no divulgó la brecha en su momento ya que no se robó información en el ataque.
La noticia de la brecha fue reportada por primera vez en Mastodon por el profesional de seguridad informática Jeffrey, quien compartió partes de una alerta del Dutch Digital Trust Center, un portal web utilizado por el gobierno, expertos en seguridad y corporaciones holandesas para compartir información sobre amenazas cibernéticas.
El grupo NCC, una firma de seguridad informática, también advirtió sobre un compromiso significativo de la plataforma de acceso remoto y soporte de TeamViewer por un grupo APT, circulando la alerta de manera segura a sus clientes debido al uso generalizado de este software.
Además, una alerta de Health-ISAC, una comunidad para profesionales de la salud que comparten inteligencia sobre amenazas, advirtió que los servicios de TeamViewer están siendo activamente atacados por el grupo de hackers ruso APT29, también conocido como Cozy Bear, NOBELIUM y Midnight Blizzard.
APT29 es un grupo APT ruso vinculado al Servicio de Inteligencia Exterior de Rusia (SVR), conocido por sus habilidades de ciberespionaje y ha sido relacionado con numerosos ataques a lo largo de los años, incluyendo ataques a diplomáticos occidentales y una reciente brecha en el entorno de correo electrónico corporativo de Microsoft.
