TeamViewer detecteert beveiligingsinbreuken in de IT-omgeving van bedrijven

TeamViewer maakte donderdag bekend dat het op 26 juni 2024 een “onregelmatigheid” in de interne IT-omgeving van het bedrijf had ontdekt.

“We hebben onmiddellijk ons ​​responsteam en onze procedures geactiveerd, samen met een team van wereldwijd gerenommeerde experts op het gebied van cyberbeveiliging een onderzoek gestart en de nodige herstelmaatregelen geïmplementeerd”, aldus het bedrijf in een verklaring.

Het merkte verder op dat de IT-omgeving van het bedrijf volledig is afgesloten van de productomgeving en dat er geen aanwijzingen zijn dat klantgegevens zijn aangetast als gevolg van het incident.

Er werden geen details vrijgegeven over wie er achter de inbraak zou kunnen zitten en hoe ze dit voor elkaar kregen. Wel werd er gezegd dat er een onderzoek gaande is en dat er statusupdates zouden worden verstrekt zodra er nieuwe informatie beschikbaar is.

TeamViewer, gevestigd in Duitsland, is de maker van software voor monitoring en beheer op afstand (RMM) waarmee Managed Service Providers (MSP’s) en IT-afdelingen servers, werkstations, netwerkapparaten en eindpunten kunnen beheren. Het wordt gebruikt door meer dan 600.000 klanten.

Interessant is dat het Amerikaanse Health Information Sharing and Analysis Center (Health-ISAC) een bulletin heeft uitgegeven over de actieve exploitatie van TeamViewer door bedreigingsactoren, aldus de American Hospital Association (AHA).

“Er zijn bedreigingsactoren waargenomen die gebruik maken van tools voor externe toegang”, aldus de non-profitorganisatie. “Er is waargenomen dat Teamviewer wordt uitgebuit door bedreigingsactoren die verband houden met APT29.”

Het is op dit moment nog onduidelijk of dit betekent dat de aanvallers misbruik maken van tekortkomingen in TeamViewer om in te breken in de netwerken van klanten, of dat ze slechte beveiligingspraktijken gebruiken om doelen te infiltreren en de software te implementeren, of dat ze een aanval hebben uitgevoerd op de eigen systemen van TeamViewer.

APT29, ook wel BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard en The Dukes genoemd, is een door de staat gesponsorde dreigingsactor die is aangesloten bij de Russische Foreign Intelligence Service (SVR). Onlangs werd het in verband gebracht met de inbreuken op Microsoft en Hewlett Packard Enterprise (HPE).

Microsoft heeft sindsdien onthuld dat sommige e-mailinboxen van klanten ook werden benaderd door APT29 na de hack die eerder dit jaar aan het licht kwam, volgens rapporten van Bloomberg en Reuters.

“Deze week blijven we klanten die correspondeerden met zakelijke e-mailaccounts van Microsoft die door de Midnight Blizzard-dreigingsactor zijn gehackt, op de hoogte stellen”, aldus de techgigant tegenover het persbureau.

Thijs Van der Does