[English]Der Hack des Fernwartungsanbieters TeamViewer scheint wohl glimpflicher abgegangen zu sein, als befürchtet. Ein staatlicher Akteur (APT29) hatte zwar Zugriff auf die interne IT-Umgebung des Unternehmens. Aber weder die Produktivumgebung mit den Quellen und Binärdateien der Fernwartungssoftware noch Kundendaten scheinen betroffen. Das hat der Anbieter in einem nunmehr dritten Statusupdate bekannt gegeben.
Anzeige
Rückblick auf den TeamViewer-Hack
Zum 28. Juni 2024 hatte ich im Blog-Beitrag TeamViewer wohl (erneut) gehackt (Juni 2024) berichtet, dass TeamViewer wohl Opfer eines erfolgreichen Cyberangriffs geworden ist. Später bestätigte der Fernwartungsanbieter diesen Sachverhalt und legt weitere Informationen vor. So wurde das Gerücht, dass es sich beim Angreifer um eine staatliche Gruppe (APT29) handelt, bestätigt. APT29 oder Cozy Bear ist die Bezeichnung für eine staatliche russische Hackergruppe, die für viele Angriffe verantwortlich ist. APT29 werden Verbindungen zum russischen Auslandsgeheimdienst (SVR) nachgesagt.
Dass interne TeamViewer Security-Team stieß am Mittwoch, den 26. Juni 2024, auf eine Auffälligkeit in der internen IT-Umgebung des Unternehmens. Darauf wurde unverzüglich das TeamViewer Response-Team aktiviert und die entsprechende Prozesse für Notfallpläne in die Wege geleitet, sowie notwendige Schutzmaßnahmen umgesetzt.
Aufarbeitung des Hacks
Nach Bekanntwerden des Vorfalls begannen TeamViewer IT-Mitarbeiter gemeinsam mit externen IT-Sicherheitsexperten mit den Untersuchungen des Hacks. Das Unternehmen versicherte frühzeitig, dass die interne IT-Umgebung komplett unabhängig von der TeamViewer-Produktumgebung ist. Das Unternehmen konnte daher ausschließen, dass der TeamViewer kompromittiert wurde – und auch Kundendaten sollten keine abgeflossen sein, hieß es bereits frühzeitigt.
Anzeige
Im Team Viewer Trust Center wurden mehrfach Aktualisierungen mit Erkenntnissen zum Vorfall geteilt. Am gestrigen Abend, des 4. Juli 2024, hat mich TeamViewer über den aktuellen Stand der Untersuchung informiert. Das Unternehmen sieht die unmittelbare Untersuchungsphase, acht Tage nach Entdeckung des Cyber-Sicherheitsvorfalls vom 26. Juni 2024, als abgeschlossen an. Aller relevanten Ermittlungsoptionen seien inzwischen abgeschöpft.
Basierend auf den Ergebnissen dieser gemeinsamen Untersuchung mit Cybersicherheitsexperten von Microsoft bestätigt TeamViewer erneut, dass der Vorfall auf die interne Corporate IT-Umgebung beschränkt war. Dies bedeutet, dass weder die separate TeamViewer-Produktumgebung, noch die Konnektivitätsplattform, noch Kundendaten betroffen waren, heißt es im Status-Update.
Die Verantwortlichen schreiben, dass die unmittelbar ergriffenen Gegenmaßnahmen in Bezug auf die interne TeamViewer Corporate IT-Umgebung sowie die zusätzlich eingeführten Schutzmaßnahmen sich als sehr wirksam erwiesen haben. Nachdem das Sicherheitsteam den Angriff direkt nach Entdeckung unterbunden hatte, gab es keine weitere verdächtige Aktivität in der internen Corporate IT Umgebung mehr.
Im Statusupdate wird keine Information gegeben, wie die Hacker von Midnight Blizzard in das TeamViewer-Unternehmensnetzwerk eindringen konnten. Im Statusupdate vom 30. Juni 2024 schrieb TeamViewer, dass der Angreifer nach aktuellen Erkenntnissen einen kompromittierten Mitarbeiterzugang genutzt hat, um Informationen aus dem Mitarbeiterverzeichnis zu kopieren. Bei den kopierten Informationen handelt es sich hierbei um Namen, geschäftliche Kontaktdaten und verschlüsselte Passwörter für die interne Corporate IT Umgebung.
Zwischen den Zeilen der diversen Status-Updates lässt sich noch herauslesen, dass IT-Infrastruktur, die aus Microsoft Produkten bestand, betroffen war. Das Unternehmen ist inzwischen dabei, die interne Corporate IT-Umgebung komplett neu aufzubauen.
Artikelreihe:
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
TeamViewer wohl (erneut) gehackt (Juni 2024)
Anzeige
Cybersicherheitsexperten von Microsoft bestätigen? Na dann ist ja alles in Ordnung!1!!
Microsoft ist in diesem Bereich sehr gut, auch wenn das durch die verschiedene Hacks nicht so aussieht.
Absolute Experten³. Ergo kamen die SuberCyberHöcker über M$ Produkte rein, wer sonst würde auf MS Personal bez. Forensik zurück greifen, wenn primär nicht MS Produkte involviert wären – ggf gleich über EntraID und deren Bullshit-Klaud. Ich denke MS war da halt mal schnell mit dem Teamviewer drauf :-) Was ein Monkeybusiness IT geworden ist – ich glaube ich schule um.
Mit Linux wäre das kaum passiert.
Ich denke das wäre der beste Weg.
Woher weißt du, dass der Angreifer über Microsoftprodukte rein kam? Wo steht das? Insiderwissen?
Wenn ich mir die Sicherheitslücken bei Fortinet, Juniper, Cisco und Co so anschaue kann das auch von solchen Systemen kommen. Aber wie so oft, der erste Beißreflex – es muss MS sein.
Oder durch aufgeflogene Backdoors bei den genannten Herstellern…
zu spät ich hab bei meinen Systemen schon TV entfernt und werd es auch nicht wieder nutzen.
"Das Unternehmen ist inzwischen dabei, die interne Corporate IT-Umgebung komplett neu aufzubauen."
Versteh ich nicht.
Wenn deren Firewall (das Konzept) funktioniert hat, und das scheint es, warum bauen sie die interne IT doch wieder neu auf?
Haben die zuviel Geld und Zeit?
Schmeißen sie doch lieber Windows raus?
Denn es gilt:
Never change a running system.
Es ist es schade, dass sie den Weg geheim halten, wie die externen reingekommen sind. Wäre für andere lehrreich.
Schade. Sie geben nur so viel Informationen wie nötig sind um die Gerüchteküche klein zu halten.
Es ist schade.
"interne Corporate IT-Umgebung komplett neu aufzubauen"
vs.
"Die Verantwortlichen schreiben, dass die … Gegenmaßnahmen in Bezug auf die interne TeamViewer Corporate IT-Umgebung sowie die zusätzlich eingeführten Schutzmaßnahmen sich als sehr wirksam erwiesen haben."
Was für ein Bullshit-Marketing. Die bauen Ihr AD neu auf, da gibt es nichts mehr, was übrig geblieben ist. Das ist ein Totalverlust, Silver und Goldentickets sind futsch. Die Angreifer waren also mitten drin, wo sie hin wollten.
Und dann noch mit Microsoft den Bock zum Gärtner machen. Ein Blackbox System durch einen Blackbox Laden prüfen lassen. Ja ich würde auch den Andi Scheuer wegen der Mautvergaben befragen und mir anschließend testieren lassen, alles sei in Ordnung. Schliesslich hat der Mann ja Erfahrung damit.
Teamviewer (Anyware, pcvisit whatever) hat auf keinem produktiven System etwas zu suchen.
Wenn die meinen, da wäre nichts von Kunden betroffen, glaub ich da nichts von…. da können die behaupten was die wollen…. selbst WeltBude MS kann bis heute nicht sagen ob nicht doch noch was im Netz ist….. der Laden hat fertig….