TeamViewer ha comunicato di aver rilevato un’intrusione non autorizzata nella rete aziendale. In base ai primi risultati dell’indagine con la collaborazione di esperti, l’accesso è stato effettuato tramite l’account di un dipendente. Al momento non ci sono prove che siano stati compromessi l’ambiente di sviluppo dei prodotti o i dati dei clienti.
Attacco di Midnight Blizzard
La software house tedesca, nota per l’omonimo tool di accesso remoto, ha scritto ieri sera che è stata rilevata una “irregolarità” nell’ambiente corporate IT, separato dall’ambiente di produzione. La notizia dell’intrusione era circolata tra gli esperti di sicurezza, alcuni dei quali hanno anche individuato gli autori.
TeamViewer ha confermato oggi che l’attacco è avvenuto il 26 giugno. I cybercriminali hanno utilizzato le credenziali di login di un dipendente per accedere all’ambiente corporate IT. Come già accaduto in altri casi viene colpito l’anello più debole della catena, spesso tramite phishing e ingegneria sociale.
La software house ha scoperto con l’aiuto di esperti esterni che gli autori sono il gruppo APT29, noto anche come Midnight Blizzard, Cozy Bear o Nobelium, specializzato in cyberspionaggio e legato/finanziato dal servizio di intelligence russo SVR. Al momento non ci sono altri dettagli sulle tecniche utilizzate.
TeamViewer ha già implementato le necessarie misure per rispondere all’intrusione (sicuramente è stato bloccato l’accesso con le credenziali del dipendente). Nel comunicato stampa viene sottolineato che ambiente corporate IT, ambiente di produzione e piattaforma di connettività del software sono “segregati”. Ciò significa che server, reti e account sono separati per prevenire il cosiddetto movimento laterale, ovvero l’accesso ad altri computer a partire da quello compromesso.