TeamViewer: Angriff auf internes IT-System aus Russland?

Update 3 Frank Hüber
148 Kommentare
TeamViewer: Angriff auf internes IT-System aus Russland?
Bild: TeamViewer

Am 26. Juni hat TeamViewer eine Auffälligkeit in ihrer internen IT-Umgebung festgestellt. Dabei soll es sich Berichten zufolge um einen Angriff einer APT-Gruppe mit Unterstützung durch den russischen Geheimdienst SWR handeln.

Kundendaten und Produktumgebung nicht betroffen

TeamViewer, Entwickler der weit verbreiteten und gleichnamigen Fernwartungssoftware, hat nach eigenen Angaben auf ihrer Website nach Bekanntwerden des Vorfalls unverzüglich das Response-Team aktiviert, gemeinsam mit anerkannten IT-Sicherheitsexperten mit den Untersuchungen des Cyberangriffs begonnen und notwendige Schutzmaßnahmen umgesetzt. Über das Ausmaß des Angriffs und potenziell Zugriffs ist bislang nichts bekannt, TeamViewer möchte jedoch transparent kommunizieren und regelmäßig Updates zum Stand der Untersuchungen veröffentlichen, sobald neue Informationen vorliegen.

Da TeamViewers interne IT-Umgebung komplett unabhängig von der Produktumgebung ist, gibt es bisher auch keinerlei Anzeichen dafür, dass die Produktumgebung oder Kundendaten von dem Angriff betroffen sein könnten. Die Untersuchungen sind allerdings noch im Gange.

APT aus Russland?

Während sich TeamViewer selbst bislang nicht zur Herkunft des Angriffs äußert, sollen in sozialen Netzwerken kursierende interne Memos der IT-Sicherheitsorganisation NCC Group jedoch Angreifer aus Russland nennen. Dabei wird auch von einem APT – Advanced Persistant Threat – gesprochen. Ein Advanced Persistent Threat liegt vor, wenn eine gut ausgebildete, üblicherweise staatlich gesteuerte Hacker-Gruppe sich über einen längeren Zeitraum Zugriff zu einem System zum Zwecke der Spionage oder Sabotage verschafft.

Doch Remote-Desktop-Zugriff angegriffen?

Wie die Organisation Health-ISAC (Information Sharing and Analysis Center) erfahren haben will, soll es sich bei den Angreifern um die Cozy Bear, APT29, Midnight Blizzard oder auch Nobelium genannte Gruppe handeln, die vom russischen Geheimdienst SWR gesteuert wird. Demnach könnten die Angreifer den Fernwartungszugriff von TeamViewer ausgenutzt haben, weshalb Systemadministratoren ihre Protokolle auf ungewöhnlichen Remote-Desktop-Verkehr überprüfen sollen – was im Widerspruch zu TeamViewers Aussage steht, dass nur das interne IT-System betroffen sei.

Update

TeamViewer hat inzwischen weitere Details zu dem Vorfall bekannt gegeben. Im neuen Statement bestätigt das Unternehmen die Vermutung, dass die APT-Gruppe Midnight Blizzard hinter dem Angriff steckt. Sie habe demnach Anmeldedaten eines Standard-Mitarbeiterkontos für den Zugriff auf die interne IT des Unternehmens genutzt. TeamViewer bekräftigt zudem noch einmal, dass nach bisherigem Wissensstand keine Produktumgebungen oder Kundendaten betroffen sind.

Eine Taskforce bestehend aus den Sicherheitsteams von TeamViewer und weltweit führenden Cybersicherheitsexperten hat rund um die Uhr mit allen verfügbaren Mitteln an der Untersuchung des Vorfalls gearbeitet. Wir stehen zudem in ständigem Austausch mit weiteren Threat Intelligence Anbietern und relevanten Behörden, um eine bestmögliche Aufklärung sicherzustellen.

Aktuelle Ergebnisse der Untersuchung deuten auf einen Angriff am Mittwoch, den 26. Juni, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in unserer Corporate IT Umgebung erfolgte. Auf Basis kontinuierlichen Sicherheitsmonitorings haben unsere Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen. Zusammen mit unserem externen Incident Response Dienstleister führen wir den Angriff derzeit auf die als APT29 / Midnight Blizzard bekannte Gruppe zurück. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschränkt. Es gibt keine Hinweise darauf, dass die Angreifer Zugang zu unserer Produktumgebung oder zu Kundendaten erlangt haben.

Gemäß unserer Best-Practice Systemarchitektur verfügt TeamViewer über eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer Konnektivitätsplattform. Dies bedeutet, dass wir alle Server, Netzwerke und Konten strikt getrennt halten, um unbefugten Zugriff und Bewegungen zwischen den verschiedenen Umgebungen zu verhindern. Diese Trennung ist eine von mehreren Schutzebenen in unserem "Defense in-depth" Ansatz.

Sicherheit ist für uns von größter Bedeutung, sie ist tief in unserer DNA verwurzelt. Daher verpflichten wir uns zu einer transparenten Kommunikation mit allen Beteiligten. Wir werden den Status der Untersuchungen weiter in unserem Trust Center aktualisieren, sobald neue Informationen verfügbar sind. Wir gehen davon aus, dass wir das nächste Update bis zum Ende des heutigen Tages MESZ veröffentlichen werden.

Security Update – 28. Juni, 2024, 12:10 Uhr MESZ
Update

TeamViewer hat ein weiteres Update veröffentlicht, in dem man die bisherigen Erkenntnisse noch einmal bestätigt, dass nicht die Produktumgebung, Konnektivitätsplattform oder Kundendaten vom Angriff betroffen waren. Weitere Updates möchte man in den nächsten Tagen im Trust Center veröffentlichen.

In Zusammenarbeit mit weltweit führenden Experten für Cyber-Sicherheit und den relevanten Behörden haben unsere Security-Teams ihre umfassende Untersuchung des Vorfalls fortgesetzt. Die heute gewonnenen Erkenntnisse haben uns in der Einschätzung bestärkt, dass der Angriff auf die interne Corporate IT-Umgebung von TeamViewer beschränkt war und nicht die Produktumgebung, unsere Konnektivitätsplattform oder Kundendaten betrifft. Wir bestätigen vor diesem Hintergrund unsere zuvor veröffentlichten Statements.

Wir räumen Cyber-Sicherheit einen sehr hohen Stellenwert ein und nehmen die Bedrohung daher sehr ernst. In den nächsten Tagen werden wir unsere intensive Untersuchung fortsetzen, um die gesammelten Beweise weiter anzureichern und alle Ermittlungsoptionen auszuschöpfen. Sobald neue Informationen verfügbar sind, werden wir weitere Updates in unserem Trust Center bereitstellen.

Security Update – 28. Juni, 2024, 20:15 Uhr MESZ
Update

Im Rahmen der voranschreitenden Untersuchungen bestätigen wir, dass der Angriff auf die interne Corporate IT-Umgebung von TeamViewer beschränkt war. Insbesondere bekräftigen wir unsere Einschätzung, dass weder die separate Produktumgebung, noch unsere Konnektivitätsplattform, noch Kundendaten betroffen sind. Nach aktuellen Erkenntnissen gehen wir davon aus, dass der Angreifer einen kompromittierten Mitarbeiterzugang genutzt hat, um Informationen aus dem Mitarbeiterverzeichnis zu kopieren. Es handelt sich hierbei um Namen, geschäftliche Kontaktdaten und verschlüsselte Passwörter für die interne Corporate IT Umgebung. Wir haben unsere Mitarbeitenden und die relevanten Behörden informiert.

Gemeinsam mit führenden Experten unseres Incident Response Partners Microsoft haben wir Maßnahmen ergriffen, die das Risiko, welches mit dem Abfluss verschlüsselter Passwörter verbunden ist, minimieren. Wir haben die Authentifizierungsprozesse für unsere Mitarbeitenden maximal verstärkt und zusätzliche starke Schutzvorkehrungen implementiert. Darüber hinaus haben wir damit begonnen, unsere interne Corporate IT-Umgebung komplett neu aufzubauen.

Wir setzen unsere Ermittlungen fort und werden weitere Updates in unserem Trust Center bereitstellen, sobald neue Informationen verfügbar sind.

Security Update – 30. Juni, 2024, 18:10 Uhr MESZ