最近のTeamViewer悪用サイバー攻撃の背後にはロシアのAPT29ハッカー集団がいる可能性

広く使用されているリモート接続ソフトウェア プロバイダーの TeamViewer は、企業ネットワークが侵害されたと報告しました。一部の情報筋によると、この攻撃はロシアのAPT (Advanced Persistent Threat) グループによるものです。6 月 26 日、TeamViewer のセキュリティ チームは、社内の IT 環境内で「不規則性」を特定しました。同社は、この環境は製品環境とは別のものであり、顧客データは影響を受けていないことをユーザーに保証しました。この保証にもかかわらず、進行中の調査は、システムの整合性を維持することを目的としています。

TeamViewer の Web サイトの声明によると、現時点では、この侵害が製品環境や顧客データに影響を与えたことを示す証拠はないとのことです。しかし、調査が続く中、同社は引き続き警戒を怠りません。TeamViewer は透明性を約束しており、さらに情報が入手でき次第、最新情報を提供する予定です。

この侵害はソーシャルメディアで注目を集め、ジェフリーという名のマストドンユーザーが、NCCグループの脅威インテリジェンスチームが、APTグループによるTeamViewerリモートアクセスおよびサポートプラットフォームの「重大な侵害」について顧客に通知していると報告した。さらに、米国に拠点を置くHealth Information Sharing and Analysis Center（Health-ISAC）は、信頼できるパートナーからの情報を引用して警告を発し、この攻撃は悪名高いAPT29グループ（別名Cozy BearまたはMidnight Blizzard）によるものだとしている。このロシア政府が支援するグループは、重要な組織に対して影響力の大きいサイバー攻撃を実行することで悪名高い。

Health-ISAC の警告では、脅威の主体がリモート アクセス ツールを使用していることが確認されていることを指摘し、組織はログを確認して異常なリモート デスクトップ トラフィックがないか確認することを推奨しています。同組織は、このような脅威を検出して軽減するための警戒の重要性を強調しています。

APT29 はサイバースパイ活動の長い歴史があり、政府機関やその他の著名な組織を標的にすることが多かった。彼らの戦術、技術、手順 (TTP) は十分に文書化されており、リモート アクセス ツールを活用して標的のネットワークに侵入し、そこに留まることも含まれる。

TeamViewer がサイバー犯罪者の標的になったのは、今回の事件が初めてではない。2019 年、TeamViewer は、2016 年に中国から活動していると思われる攻撃者によってハッキングされたことを明らかにした。同社は、顧客への影響の証拠がないことを理由に、侵害をすぐには公表しないことを選択した。

最新の侵害に対して、TeamViewer は透明性への取り組みを強調し、調査の進行に応じて最新情報を提供し続けます。同社の主な焦点は、システムのセキュリティと整合性を確保し、企業環境と製品環境の両方を保護することです。