Midnight Blizzard: Teamviewer führt Cyberangriff auf russische Hacker zurück
Schon zuvor gab es Gerüchte, laut denen die mutmaßlich mit dem russischen Auslandsgeheimdienst SVR verbundene Hackergruppe Midnight Blizzard hinter dem jüngsten Cyberangriff auf Teamviewer steckt. Gemäß einer am Freitag aktualisierten Stellungnahme(öffnet im neuen Fenster) führt das betroffene Unternehmen den Angriff nun ebenfalls auf diesen auch als APT29 bekannten Bedrohungsakteur zurück.
Durchgeführt worden sei der am 26. Juni 2024 entdeckte Cyberangriff mit Zugangsdaten eines Standard-Mitarbeiterkontos in der internen IT-Umgebung von Teamviewer. "Auf Basis kontinuierlichen Sicherheitsmonitorings haben unsere Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen" , erklärt das Unternehmen weiter.
Wie genau die Angreifer in den Besitz der Anmeldeinformationen gelangen konnten und ob das Mitarbeiterkonto zusätzlich mit einer Zwei-Faktor-Authentifizierung geschützt war, geht aus Teamviewers bisherigen Angaben allerdings nicht hervor.
Angeblich auf interne IT-Umgebung beschränkt
Trotz früherer Gerüchte, die Gegenteiliges suggerierten(öffnet im neuen Fenster) , ist sich Teamviewer nach wie vor sicher, dass sich der Angriff auf die interne IT-Umgebung beschränkt und die Angreifer keinen Zugriff auf die Produktumgebung oder gar Kundendaten erlangt haben. Auch die Konnektivitätsplattform des Unternehmens sei nach aktuellen Erkenntnissen nicht betroffen.
Grund dafür sei eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der Teamviewer-Konnektivitätsplattform. "Dies bedeutet, dass wir alle Server, Netzwerke und Konten strikt getrennt halten, um unbefugten Zugriff und Bewegungen zwischen den verschiedenen Umgebungen zu verhindern" , erklärt der Anbieter.
Das Unternehmen verspricht, den Vorfall in den kommenden Tagen weiterhin zu untersuchen, weitere Beweise zu sammeln und "alle Ermittlungsoptionen auszuschöpfen" . Im Rahmen der Untersuchung neu erlangte Informationen will Teamviewer weiterhin über sein Trust Center(öffnet im neuen Fenster) bereitstellen. Das Unternehmen arbeitet nach eigenen Angaben mit Behörden und "weltweit führenden Experten für Cybersicherheit" zusammen.
Auch Microsoft hat Erfahrungen mit APT29
Die Hackergruppe Midnight Blizzard wird häufig auch als Cozy Bear, Nobelium oder APT29 bezeichnet. In diesem Jahr fiel sie schon durch Angriffe auf Microsoft auf, die sich über einen Zeitraum von mehreren Monaten erstreckten. Auch interne E-Mails von HP Enterprise scheinen dabei in die Hände der Hackergruppe gelangt zu sein.
Zuletzt lud APT29 Mitglieder deutscher Parteien im Rahmen einer Phishing-Kampagne zu einem angeblichen Abendessen der CDU ein. Darüber hinaus wird die Hackergruppe auch für den prominenten Sunburst-Angriff von Ende 2020 verantwortlich gemacht.