Na onderzoek blijkt het hack bij TeamViewer de verantwoordelijkheid van APT29: de Russische organisatie die ook achter de SolarWinds-kraak zat. De schade blijft nu gelukkig beperkt.
TeamViewer deelt meer details over het hack dat het vorige week ontdekte. Het lijkt erop dat het bedrijf door het oog van de naald is gekropen. Volgens onderzoek van TeamViewer samen met externe beveiligingsspecialisten, is APT29 immers verantwoordelijk. Dat is een criminele organisatie aangestuurd door het Russische Kremlin.
APT29, ook gekend als Midnight Blizzard of Cozy Bear, raakte berucht door het hack van de IT-beheersoftware Orion van SolarWinds. Via die tool kregen de hackers toegang tot de IT-omgeving ongeveer 18.000 bedrijven.
640.000 potentiële slachtoffers
APT29 had vermoedelijk een heel gelijkaardig doel bij TeamViewer. De software van het bedrijf biedt toegang vanop afstand voor computers. Ongeveer 640.000 klanten gebruiken de remote desktop-oplossing van TeamViewer.
Gelukkig heeft TeamViewer het hack optijd gedetecteerd. Dat stelt het bedrijf alleszins duidelijk in een reactie met bijhorende updates. TeamViewer en de externe beveiligingsspecialist hebben het hack intussen getraceerd naar het account van een werknemer, waarvoor APT29 inloggegevens bemachtigde. Op 26 juni heeft het beveiligingssysteem van TeamViewer dan meteen verdachte activiteit blootgelegd.
Best practices
Zo bleef de impact van de kraak vermoedelijk beperkt. TeamViewer bevestigt in ieder geval dat de aanvallers geen toegang kregen tot de productie-omgeving. “We hebben een sterke scheiding van ons bedrijfs-IT-netwerk, de productie-omgeving en het TeamViewer-platform, in overeenstemming met best practices”, aldus TeamViewer. “Dat betekent dat we alle servers, netwerken en accounts strikt val elkaar gescheiden houden, om zo ongeautoriseerde laterale beweging tussen de verschillende omgevingen te voorkomen.”
De hackers van APT29 werden niet met lege handen uit de omgeving van TeamViewer gesmeten. Zo konden wel gegevens over werknemers buitmaken, zoals namen en versleutelde wachtwoorden. De getroffen werknemers werde op de hoogte gesteld, en TeamViewer heeft actie ondernomen om misbruik van die data tegen te gaan. Intussen is het bedrijf begonnen met de heropbouw van de IT-omgeving naar een vertrouwde staat.