La empresa de software de acceso remoto TeamViewer informó que su entorno corporativo fue violado en un ciberataque, presuntamente por un grupo de hackers APT, según anunció ayer una empresa de ciberseguridad.

«El miércoles 26 de junio de 2024, nuestro equipo de seguridad detectó una irregularidad en el entorno informático corporativo interno de TeamViewer«, informó la compañía en su Centro de Confianza.

«Activamos inmediatamente nuestro equipo de respuesta y procedimientos de seguridad, iniciamos investigaciones junto con un equipo de expertos en ciberseguridad de renombre mundial e implementamos las medidas correctivas necesarias», añadió.

Protección del entorno del producto

TeamViewer aseguró que su entorno de TI corporativo es independiente del entorno del producto, y que no hay pruebas de que los datos de los clientes hayan sido afectados. «Nuestro objetivo principal sigue siendo garantizar la integridad de nuestros sistemas», afirmó la empresa. La compañía se comprometió a ser transparente sobre la violación y actualizará el estado de su investigación conforme haya más información disponible.

Sin embargo, la página «TeamViewer IT security update» contiene una etiqueta HTML que impide que el documento sea indexado por los motores de búsqueda, lo que lo hace difícil de encontrar.

Impacto y antecedentes de TeamViewer

TeamViewer, un software de acceso remoto muy popular, permite a los usuarios controlar de forma remota un ordenador y utilizarlo como si estuvieran sentados frente al dispositivo. Actualmente, es utilizado por más de 640,000 clientes en todo el mundo y se ha instalado en más de 2,500 millones de dispositivos desde su lanzamiento.

A pesar de que TeamViewer afirma que no hay evidencia de que los datos de los clientes hayan sido comprometidos, la masiva adopción de su software en entornos corporativos y de consumidores hace que cualquier violación sea una preocupación importante.

En 2019, TeamViewer confirmó una violación de 2016 vinculada a actores de amenazas chinos por el uso de la puerta trasera Winnti. En ese momento, la compañía no reveló la violación porque no se robaron datos en el ataque.

Presunto grupo APT detrás del ataque

La noticia de la violación fue reportada por primera vez en Mastodon por Jeffrey, un profesional de seguridad informática, quien compartió partes de una alerta del Centro de Confianza Digital Holandés. El NCC Group emitió una alerta afirmando que un grupo APT comprometió significativamente la plataforma de TeamViewer. «Debido al uso generalizado de este software, la alerta se distribuye de forma segura a nuestros clientes», señaló NCC Group.

Health-ISAC, una comunidad para compartir inteligencia de amenazas en el sector salud, también advirtió sobre ataques activos a TeamViewer por parte del grupo de hackers ruso APT29, conocido como Cozy Bear, NOBELIUM y Midnight Blizzard. «El 27 de junio de 2024, Health-ISAC recibió información de un socio de inteligencia de que APT29 está explotando activamente TeamViewer», indicó la alerta.

APT29, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR), es conocido por sus habilidades de ciberespionaje y ha sido asociado con numerosos ataques, incluidos los recientes a diplomáticos occidentales y al entorno de correo electrónico corporativo de Microsoft.

Reacciones y medidas

NCC Group no proporcionó más detalles sobre la alerta cuando fue contactado. «Emitimos alertas de forma regular basadas en una variedad de fuentes e inteligencia», dijo NCC Group. TeamViewer también declinó proporcionar más información mientras continúa investigando el incidente.

Actualización 27/06/24: Se agregó una declaración de NCC Group.

Fuente: Bleepingcomputer