La società di software TeamViewer ha reso noto l'attacco portato al suo sistema IT aziendale da parte di un gruppo di hacker russi estremamente attivo, noto come ATP29 o con i nomi alternativi di Cozy Bear, BlueBravo e Midnight Blizzard. Il gruppo, che sarebbe ospitato all'interno del Foreign Intelligence Service (SVR) russo, è accreditato di una lunga serie di attacchi tra i più importanti dell'ultimo decennio, tra cui l'hacking di SolarWinds del 2020 e quello nei confronti del Comitato Nazionale Democratico, quattro anni prima.

L'attacco a TeamViewer

TeamViewer ha spiegato che l'hacking di mercoledì è stato collegato alle credenziali di un account standard di un dipendente all'interno del suo sistema IT. Al momento, però, non ci sarebbero prove sull'accesso degli attaccanti ai dati dei clienti o a quelli relativi ai prodotti. Oltre a sottolineare con forza la separazione del sistema IT dagli altri presenti in ambito aziendale. La stessa società ha poi puntualizzato, al riguardo: “Ciò significa che manteniamo tutti i server, le reti e gli account rigorosamente separati per aiutare a prevenire l'accesso non autorizzato e lo spostamento laterale tra i diversi ambienti”. Il portavoce di TeamViewer non ha comunque risposto alle domande relative a quali sistemi siano stati consultati dagli hacker di ATP29. L'azienda si è comunque impegnata a proseguire le indagini sul problema. L'incidente è emerso nella giornata di giovedì, quando diverse organizzazioni hanno iniziato ad avvisare clienti e membri dell'attacco nei confronti di TeamViewer. La società di sicurezza informatica NCC Group e una coalizione di sicurezza informatica del settore sanitario hanno entrambi rilasciato avvisi privati che avvertivano sulla violazione in atto. In attesa di ulteriori informazioni, Matt Hull, Global Head of Threat Intelligence presso NCC Group, ha affermato che la rimozione del software TeamViewer "aiuterà a mitigare qualsiasi potenziale compromissione tramite questo vettore". Per poi aggiungere che è altamente raccomandabile l'esame degli host i quali lo hanno installato, per rilevare comportamenti insoliti in grado di suggerirne l'avvenuta compromissione.

A proposito di Cozy Bear

John Hultquist, analista capo per la società di sicurezza di Google Cloud Mandiant, ha ricordato come ATP29 sia uno dei gruppi hacker più difficili da monitorare e che la sua notorietà deriva dal prendere di mira aziende tecnologiche di tutte le dimensioni. Il modus operandi utilizzato solitamente dal gruppo, punta a passare inosservato, senza però eccessivi timori nell'intraprendere attacchi alla supply chain caratterizzati da grande audacia. Il suo obiettivo, in particolare, sarebbe l'ottenimento di informazioni di intelligence in grado di aiutare il Cremlino a prendere decisioni strategiche. In questa ottica, sono privilegiati per i raid i dati relativi alla politica estera. ATP29 è stato recentemente implicato in un grave attacco contro Microsoft il quale ha messo in pericolo e-mail provenienti da diverse agenzie federali statunitensi che potrebbero contenere dettagli di autenticazione o credenziali. Giovedì sera Bloomberg ha a sua volta riferito che l'azienda ha iniziato a notificare ad altre organizzazioni che le loro e-mail e altre informazioni sono state violate nell'ambito dell'attacco. Hultquist ha poi aggiunto che APT29 ha recentemente preso di mira i partiti politici anche in Germania. Per poi aggiungere che a causa del conflitto in Ucraina, i servizi di sicurezza russi sono sotto un'enorme pressione, per supportare lo sforzo bellico e la leadership russa. Trovando un aiuto prezioso da parte di questo e altri gruppi di hacker.

Tweet