TeamViewer, la société qui fabrique des outils d'accès à distance largement utilisés pour les entreprises, a confirmé une cyberattaque en cours sur son réseau d'entreprise.
Dans un communiqué publié vendredi , la société a attribué la compromission à des pirates informatiques soutenus par le gouvernement et travaillant pour les services de renseignement russes, connus sous le nom d'APT29 (et Midnight Blizzard).
La société basée en Allemagne a déclaré que son enquête jusqu’à présent fait état d’une première intrusion le 26 juin « liée aux informations d’identification d’un compte d’employé standard au sein de notre environnement informatique d’entreprise ».
TeamViewer a déclaré que la cyberattaque « était limitée » à son réseau d'entreprise et que l'entreprise gardait son réseau interne et ses systèmes clients séparés. La société a ajouté qu’elle n’avait « aucune preuve que l’acteur menaçant ait eu accès à notre environnement produit ou aux données clients ».
Martina Dier, porte-parole de TeamViewer, a refusé de répondre à une série de questions de TechCrunch, notamment si l'entreprise a la capacité technique, comme les journaux, de déterminer quelles données, le cas échéant, ont été consultées ou exfiltrées de son réseau.
TeamViewer est l'un des fournisseurs d'outils d'accès à distance les plus populaires, permettant à ses entreprises clientes – notamment le géant du transport maritime DHL et le fabricant de boissons Coca-Cola, selon son site Web – d'accéder à d'autres appareils et ordinateurs via Internet. La société affirme compter plus de 600 000 clients payants et facilite l'accès à distance à plus de 2,5 milliards d'appareils dans le monde.
TeamViewer est également connu pour être utilisé par des pirates malveillants pour sa capacité à installer à distance des logiciels malveillants sur l'appareil d'une victime.
On ne sait pas comment les informations d'identification de l'employé de TeamViewer ont été compromises, et TeamViewer ne l'a pas précisé.
Le gouvernement américain et les chercheurs en sécurité attribuent depuis longtemps APT29 à des pirates informatiques travaillant pour le service de renseignement extérieur russe, le SVR. APT29 est l’un des groupes de piratage les plus persistants et les mieux dotés en ressources, soutenus par le gouvernement, et est connu pour son utilisation de techniques de piratage simples mais efficaces – notamment le vol de mots de passe – pour mener des campagnes d’espionnage furtif de longue durée reposant sur le vol de données sensibles.
TeamViewer est la dernière entreprise technologique ciblée par le SVR russe ces derniers temps. Le même groupe de pirates gouvernementaux a compromis le réseau d'entreprise de Microsoft plus tôt cette année pour voler des courriels de hauts dirigeants afin d'apprendre ce que l'on savait des pirates intrus eux-mêmes . Microsoft a déclaré que d'autres entreprises technologiques avaient été compromises lors de la campagne d'espionnage russe en cours, et l'agence américaine de cybersécurité CISA a confirmé que les e-mails du gouvernement fédéral hébergés sur le cloud de Microsoft avaient également été volés.
Quelques mois plus tard, Microsoft a déclaré qu'il avait du mal à expulser les pirates de ses systèmes , qualifiant la campagne d'« engagement soutenu et significatif » des « ressources, de la coordination et de l'orientation » du gouvernement russe.
Le gouvernement américain a également imputé à l'APT29 russe la campagne d'espionnage 2019-2020 visant la société de logiciels américaine SolarWinds . La cyberattaque a entraîné un piratage massif des agences du gouvernement fédéral américain en implantant une porte dérobée malveillante cachée dans le logiciel phare de SolarWinds. Lorsque la mise à jour du logiciel corrompu a été distribuée aux clients de SolarWinds, les pirates russes ont eu accès à tous les réseaux exécutant le logiciel compromis , y compris le Trésor, le ministère de la Justice et le Département d'État.