TeamViewer, la empresa que fabrica herramientas de acceso remoto ampliamente utilizadas para empresas, ha confirmado un ciberataque en curso en su red corporativa.
En una declaración el viernesla compañía atribuyó el compromiso a piratas informáticos respaldados por el gobierno que trabajan para la inteligencia rusa, conocidos como APT29 (y Midnight Blizzard).
La compañía con sede en Alemania dijo que su investigación hasta ahora apunta a una intrusión inicial el 26 de junio “vinculada a las credenciales de una cuenta de empleado estándar dentro de nuestro entorno de TI corporativo”.
TeamViewer afirmó que el ciberataque “se limitó” a su red corporativa y que la empresa mantiene su red interna y los sistemas de sus clientes separados. La empresa añadió que “no tiene pruebas de que el actor de la amenaza haya accedido a nuestro entorno de productos o a los datos de nuestros clientes”.
Martina Dier, portavoz de TeamViewer, se negó a responder una serie de preguntas de TechCrunch, incluido si la empresa tiene la capacidad técnica, como registros, para determinar a qué datos se accedió o se exfiltró de su red, si corresponde.
TeamViewer es uno de los proveedores más populares de herramientas de acceso remoto, lo que permite a sus clientes corporativos, incluido el gigante del transporte DHL y el fabricante de bebidas Coca-Cola, según su sitio web — para acceder a otros dispositivos y computadoras desde Internet. La empresa Dice que tiene más de 600.000 clientes de pago y facilita el acceso remoto a más de 2.500 millones de dispositivos en todo el mundo.
TeamViewer también es conocido por ser abusado por piratas informáticos maliciosos por su capacidad para usarse para instalar malware de forma remota en el dispositivo de la víctima.
No se sabe cómo se vieron comprometidas las credenciales del empleado de TeamViewer, y TeamViewer no lo dijo.
El gobierno de Estados Unidos y los investigadores de seguridad han atribuido durante mucho tiempo el APT29 a piratas informáticos que trabajan para el servicio de inteligencia exterior de Rusia, el SVR. APT29 es uno de los grupos de piratería respaldados por el gobierno más persistentes y con mayores recursos, y conocido por su uso de técnicas de piratería simples pero efectivas (incluido el robo de contraseñas) para llevar a cabo campañas de espionaje sigilosas de larga duración que se basan en el robo de datos confidenciales.
TeamViewer es la última empresa de tecnología atacada por el SVR de Rusia en los últimos tiempos. El mismo grupo de piratas informáticos del gobierno comprometió la red corporativa de Microsoft a principios de este año para robar correos electrónicos de altos ejecutivos y saber qué se sabía sobre los propios piratas informáticos intrusos. Microsoft dijo que otras empresas de tecnología se vieron comprometidas durante la actual campaña de espionaje ruso, y la agencia de ciberseguridad estadounidense CISA confirmó que los correos electrónicos del gobierno federal alojados en la nube de Microsoft también fueron robados.
Meses después, Microsoft dijo que estaba teniendo dificultades para expulsar a los piratas informáticos de sus sistemas y calificó la campaña como un “compromiso sostenido y significativo” de los “recursos, la coordinación y el enfoque” del gobierno ruso.
El gobierno de EE. UU. también culpó al APT29 de Rusia por la campaña de espionaje de 2019-2020 dirigida a la empresa de software estadounidense SolarWinds. El ciberataque supuso el pirateo masivo de agencias del gobierno federal de EE. UU. mediante la instalación de una puerta trasera maliciosa oculta en el software insignia de SolarWinds. Cuando la actualización del software contaminado se envió a los clientes de SolarWinds, los piratas informáticos rusos tuvieron acceso a todas las redes que ejecutaban el software comprometido, incluido el Tesoro, el Departamento de Justicia y el Departamento de Estado.
¿Sabes más sobre el ciberataque a TeamViewer? Ponerse en contacto. Para contactar a este reportero, comuníquese por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.