Le réseau d’entreprise de TeamViewer a été violé cette semaine lors d’une attaque que l’éditeur de logiciels d’accès à distance a attribuée à l’acteur malveillant parrainé par l’État russe, Midnight Blizzard.
Selon un communiqué publié jeudi, TeamViewer a déclaré que son équipe de sécurité avait détecté « une irrégularité dans l’environnement informatique interne de TeamViewer » le mercredi 26 juin, bien que son environnement produit et les données clients n’aient pas été affectés. La société avait écrit à l’époque qu’elle avait immédiatement ouvert une enquête et qu’elle partagerait, dans un souci de transparence, plus de détails dès qu’ils seraient disponibles.
Les logiciels d’accès à distance sont souvent utilisés à mauvais escient par les auteurs de menaces pour se déplacer latéralement dans les environnements des victimes. En 2021, un acteur malveillant a abusé de TeamViewer pour accéder aux systèmes SCADA d’une usine de traitement d’eau à Oldsmar, en Floride.
TeamViewer a fourni des détails supplémentaires vendredi en tant que mise à jour de la déclaration initiale. La société a déclaré que son équipe de sécurité travaillait avec des partenaires “24 heures sur 24 et 7 jours sur 7” pour enquêter sur l’attaque et qu’elle était en contact permanent avec les fournisseurs de renseignements sur les menaces ainsi qu’avec les autorités compétentes.
TeamViewer a attribué l’attaque à Midnight Blizzard, l’acteur parrainé par l’État russe également connu sous les noms d’APT29 et de Cozy Bear. Midnight Blizzard était à l’origine de la violation de Microsoft révélée plus tôt cette année ainsi que de l’attaque dévastatrice de la chaîne d’approvisionnement contre SolarWinds en 2020. De plus, TeamViewer a déclaré que l’attaque était « liée aux informations d’identification d’un compte d’employé standard » au sein de son environnement réseau d’entreprise.
“Sur la base d’une surveillance continue de la sécurité, nos équipes ont identifié un comportement suspect de ce compte et ont immédiatement mis en œuvre des mesures de réponse aux incidents. Avec notre support externe de réponse aux incidents, nous attribuons actuellement cette activité à l’acteur malveillant connu sous le nom d’APT29 / Midnight Blizzard”, a déclaré le responsable. lecture de la déclaration mise à jour. “Sur la base des conclusions actuelles de l’enquête, l’attaque a été contenue dans l’environnement informatique de l’entreprise et il n’y a aucune preuve que l’auteur de la menace ait eu accès à notre environnement produit ou aux données clients.”
TeamViewer a souligné dans la mise à jour que, sur la base des preuves actuelles, son environnement produit et les données de ses clients n’étaient pas affectés par la violation. La déclaration mise à jour explique que TeamViewer utilise une approche de défense en profondeur qui limite la capacité de l’acteur malveillant à accéder à d’autres parties de l’environnement de l’entreprise.
“Conformément à l’architecture des meilleures pratiques, nous avons mis en place une forte ségrégation entre l’informatique d’entreprise, l’environnement de production et la plate-forme de connectivité TeamViewer”, indique le communiqué. “Cela signifie que nous gardons tous les serveurs, réseaux et comptes strictement séparés pour empêcher tout accès non autorisé et tout mouvement latéral entre les différents environnements.”
TechTarget Editorial a demandé à TeamViewer comment les informations d’identification des employés avaient été volées, mais un porte-parole a refusé de commenter, promettant plus de détails dès qu’ils seraient disponibles. La prochaine mise à jour est attendue vendredi à la fin des heures ouvrables, heure d’été d’Europe centrale.
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.
