TeamViewer, développeur de logiciels RMM, affirme qu'un groupe de piratage informatique parrainé par l'État russe, connu sous le nom de Midnight Blizzard, serait à l'origine d'une violation de son réseau d'entreprise cette semaine.

Hier, BleepingComputer a signalé que TeamViewer avait été piraté et que des experts en cybersécurité et des organisations de soins de santé avaient commencé à avertir les clients et les organisations de surveiller leurs connexions.

TeamViewer est largement utilisé par les entreprises et les particuliers pour la surveillance et la gestion à distance (RMM) des appareils sur les réseaux internes. L'ampleur de l'incident de cybersécurité n'étant pas connue, les experts ont commencé à avertir les parties prenantes de surveiller les connexions suspectes qui pourraient indiquer que des acteurs malveillants tentaient d'utiliser la faille TeamViewer pour accéder à d'autres réseaux.

Aujourd'hui, TeamViewer a partagé une déclaration mise à jour avec BleepingComputer, indiquant qu'ils attribuent l'attaque à Midnight Blizzard (APT29, Nobelium, Cozy Bear).

TeamViewer affirme croire que son réseau interne d'entreprise, et non son environnement de production, a été piraté le mercredi 26 juin, en utilisant les informations d'identification d'un employé.

« Les conclusions actuelles de l'enquête font état d'une attaque survenue le mercredi 26 juin, liée aux informations d'identification d'un compte d'employé standard au sein de notre environnement informatique d'entreprise », lit-on dans la version mise à jour. Déclaration de TeamViewer.

« Sur la base d'une surveillance continue de la sécurité, nos équipes ont identifié un comportement suspect de ce compte et ont immédiatement mis en œuvre des mesures de réponse aux incidents. Avec notre support externe de réponse aux incidents, nous attribuons actuellement cette activité à l'acteur menaçant connu sous le nom d'APT29 / Midnight Blizzard. »

L'entreprise a souligné que son enquête n'a montré aucune indication que l'environnement de production ou les données client ont été consultés lors de l'attaque et qu'elle maintient son réseau d'entreprise et son environnement produit isolés les uns des autres.

« En suivant les meilleures pratiques d'architecture, nous avons mis en place une forte séparation entre l'informatique d'entreprise, l'environnement de production et la plateforme de connectivité TeamViewer », poursuit la déclaration de TeamViewer.

« Cela signifie que nous maintenons tous les serveurs, réseaux et comptes strictement séparés pour empêcher tout accès non autorisé et tout mouvement latéral entre les différents environnements. Cette ségrégation est l'une des multiples couches de protection de notre approche de « défense en profondeur ».

Bien que cela soit rassurant pour les clients TeamViewer, il est courant que, dans des incidents comme celui-ci, des informations supplémentaires soient révélées ultérieurement à mesure que l'enquête progresse. Cela est particulièrement vrai pour un acteur de menace aussi avancé que Midnight Blizzard.

Par conséquent, il est recommandé à tous les clients TeamViewer d'activer l'authentification multifacteur, de configurer une liste d'autorisations et de blocages afin que seuls les utilisateurs autorisés puissent établir des connexions et de surveiller leurs connexions réseau et les journaux TeamViewer.

BleepingComputer a contacté TeamViewer avec d'autres questions sur les personnes qui participent à l'enquête et sur la manière dont les informations d'identification des employés ont été compromises, mais n'a pas reçu de réponse pour le moment.

Blizzard de minuit

Midnight Blizzard (alias Cozy Bear, Nobelium et APT29) est un groupe de piratage avancé parrainé par l'État, qui serait associé au Service de renseignement étranger (SVR) russe.

Les auteurs de la menace ont été associés à une grande variété d'attaques, principalement associées au cyberespionnage, dans lesquelles ils piratent les réseaux gouvernementaux et d'entreprise pour voler silencieusement des données et surveiller les communications.

Le gouvernement américain a lié le groupe de piratage à la tristement célèbre attaque de la chaîne d’approvisionnement de SolarWinds en 2020, où les acteurs malveillants ont violé l’entreprise pour accéder à son environnement de développement. À partir de là, ils ont ajouté une porte dérobée malveillante à un fichier DLL Windows qui a ensuite été transmis aux clients de SolarWinds lors d'une attaque de la chaîne d'approvisionnement via une plate-forme de mise à jour automatique.

Cette DLL a permis aux acteurs de la menace de surveiller les cibles de grande valeur, de violer les réseaux et de voler des données de leurs environnements.

Plus récemment, Midnight Blizzard a tourné son attention vers Microsoft dans une série de cyberattaques réussies.

En 2023, les acteurs malveillants ont piraté les comptes Exchange Online de Microsoft pour surveiller et voler les e-mails des équipes de direction, de cybersécurité et juridiques de l'entreprise. Fait particulièrement intéressant, Microsoft indique qu'ils ont initialement ciblé les comptes de messagerie pour trouver des informations les concernant.

En mars 2024, Microsoft a déclaré que les auteurs de la menace avaient une fois de plus violé leurs systèmes en utilisant les secrets trouvés dans les e-mails volés lors de l'incident précédent.

Midnight Blizzard a accédé à certains de ses systèmes internes et référentiels de code source dans le cadre de cette violation.

Dans les deux incidents, les acteurs malveillants ont utilisé des attaques par pulvérisation de mots de passe pour pénétrer dans des comptes d'entreprise, puis ont utilisé ces comptes comme tremplin vers d'autres comptes et appareils dans les systèmes ciblés.

Microsoft avait conseils précédemment partagés pour répondre et enquêter sur les attaques de Midnight Blizzard.