leowolfert - stock.adobe.com

Le SI corporate de TeamViewer compromis par APT29

L’éditeur d’outils d’administration de systèmes à distance est confronté à une cyberattaque : son système d’information interne, distinct de ceux utilisés pour ses clients, a fait l’objet d’une intrusion de ce groupe notoirement soutenu par l’État russe.

Coup de tonnerre ce jeudi 27 juin en début de soirée. Un message publié sur une instance Mastodon notamment fréquentée par les spécialistes de la cybersécurité l’affirme : TeamViewer aurait été victime d’une cyberattaque conduite par un groupe lié à un État-nation, ce que l’on désigne sous le nom d’APT – pour menace avancée persistante. 

L’information émanerait de l’équipe de renseignement sur les menaces de NCC Group, qui l’aurait obtenu de la communauté cyber néerlandaise. Très vite, la nouvelle se propage et le nom du groupe APT impliqué commence à circuler : il s’agirait de Nobelium, aussi désigné sous la référence APT29, ou Midnight Blizzard. Le centre américain de partage de renseignements sur les menaces du secteur de la santé, le Health-ISAC, semble confirmer. 

La confirmation de l’intéressé tardera un peu à venir. Dans un premier message publié le 27 juin en fin de journée, TeamViewer indique que son « équipe de sécurité a détecté une irrégularité dans son environnement IT corporate », le mercredi 26 juin. Et de souligner que ce système d’information « est complètement indépendant de l’environnement produit ».

Il faudra attendre quelques heures pour que l’éditeur mentionne publiquement le groupe APT29, dans une nouvelle déclaration. Selon celle-ci, les anomalies observées sont « liées aux identifiants d’un compte employé standard » : « sur la base d’une surveillance continue de la sécurité, nos équipes ont identifié un comportement suspect de ce compte et ont immédiatement mis en place des mesures de réponse à l’incident ».

À ce stade, les investigations suggèrent que l’intrusion est limitée à l’environnement IT corporate de TeamViewer et rien ne laisse à craindre que l’assaillant ait pu accéder au SI produit ou à des données clients, précise l’éditeur.

Cette découverte s’inscrit dans une série d’intrusions attribuées à APT29. En janvier, Microsoft a déclaré que cet acteur avait pénétré dans son réseau, à l’automne 2023, et accédé à « un très petit pourcentage de comptes de messagerie d’entreprise Microsoft ».

En 2020 déjà, une attaque par rebond visant SolarWinds avait été attribuée à Nobelium : pendant plusieurs mois, l’éditeur d’outils de gestion des infrastructures informatiques avait distribué, à son insu, un composant logiciel de sa plateforme Orion contenant une porte dérobée.

Pour approfondir sur Cyberdéfense

Close