{"id":296685,"date":"2024-06-28T00:01:00","date_gmt":"2024-06-27T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296685"},"modified":"2024-06-28T13:46:17","modified_gmt":"2024-06-28T11:46:17","slug":"teamviewer-wohl-erneut-gehackt-juni-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/28\/teamviewer-wohl-erneut-gehackt-juni-2024\/","title":{"rendered":"TeamViewer wohl (erneut) gehackt (Juni 2024)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Fernwartungsanbieter TeamViewer ist wohl Opfer eines erfolgreichen Cyberangriffs geworden. Ungekannte T\u00e4ter (es wird \u00fcber APT29 gemunkelt) konnten in die interne IT-Umgebung eindringen und sich im Netzwerk tummeln. Allerdings gibt der Anbieter an, dass seine Produktumgebung nicht betroffen sei. Es gebe auch keine Anzeichen, dass Kundendaten abgezogen worden seien, schreibt TeamViewer. Update<\/strong> vom 28. Juni 2024; 12:10 MEZ.<\/p>\n

<\/p>\n

Erste Ger\u00fcchte zum Hack<\/h2>\n

\"\"Ich habe von mehreren Blog-Lesern die Information bzw. Frage, ob TeamViewer gehackt worden sei, erhalten. Auf Mastodon hat Kevin Beaumont<\/a> auf einen Post<\/a> zum Cybervorfall verlinkt. Dort hei\u00dft es:<\/p>\n

\"The NCC Group Global Threat Intelligence team has been made aware of significant compromise of the TeamViewer remote access and support platform by an APT group. Due to the widespread usage of this software the following alert is being circulated securely to our customers.\"<\/p>\n

NCC Group can't disclose the source at the time and keep investigating this. Big source, but no substance. Curious to see how this will work out.<\/p><\/blockquote>\n

Die NCC Group ist ein Informationssicherungsunternehmen mit Hauptsitz in Manchester, Vereinigtes K\u00f6nigreich. Dort hei\u00dft es nur, dass die auf einen Hack aufmerksam wurden, aber keine Informationen offen legen k\u00f6nnen. Eine Quelle HEALTH-Isac bezichtigt\u00a0 APT29 (Cozy Bear) f\u00fcr den Hack verantwortlich zu sein. Es hei\u00dft dort:<\/p>\n

\"On June 27, 2024, Health-ISAC received information from a trusted intelligence partner that APT29 is actively exploiting Teamviewer. Health-ISAC recommends reviewing logs for any unusual remote desktop traffic. Threat actors have been observed leveraging remote access tools. Teamviewer has been observed being exploited by threat actors associated with APT29.\"<\/p><\/blockquote>\n

In kurz: Die Leute von Health-ISAC erhielten von einem vertrauensw\u00fcrdigen Geheimdienstpartner die Information, dass APT29 den Teamviewer aktiv ausnutzt (hier h\u00e4tte ich jetzt gesagt, dass das kein Indiz daf\u00fcr ist, dass APT29 hinter dem Hack steht).<\/p>\n

Das K\u00fcrzel APT29 oder Cozy Bear<\/a> ist die Bezeichnung f\u00fcr eine staatliche russische Hackergruppe, die f\u00fcr viele Angriffe verantwortlich ist. APT29 werden Verbindungen zum russischen Auslandsgeheimdienst (SVR) nachgesagt.<\/p><\/blockquote>\n

TeamViewer best\u00e4tigt den Hack<\/h2>\n

Ein Cyberangriff auf das IT-Netzwerk von TeamViewer ist durch das Unternehmen best\u00e4tigt. Im Team Viewer Trust Center<\/a> hei\u00df es, dass interne Security-Team am Mittwoch, den 26. Juni 2024, eine Auff\u00e4lligkeit in der internen IT-Umgebung des Unternehmens festgestellt habe. Details zum Angreifer, oder was aufgefallen ist, wird in nachfolgender Meldung nicht offen gelegt.<\/p>\n

\"TeamViewer<\/a><\/p>\n

Darauf wurde unverz\u00fcglich das TeamViewer Response-Team aktiviert und die entsprechende Prozesse f\u00fcr Notfallpl\u00e4ne in die Wege geleitet. Gemeinsam mit externen IT-Sicherheitsexperten haben die TeamViewer IT-Mitarbeiter unmittelbar nach dem Bekanntwerden des Vorfalls mit den Untersuchungen des Hacks begonnen. Zudem seien notwendige Schutzma\u00dfnahmen umgesetzt worden.<\/p>\n

Das Unternehmen versichert, dass TeamViewers interne IT-Umgebung komplett unabh\u00e4ngig von der Produktumgebung ist. Es gibt nach bisherigen Erkenntnissen keine Anzeichen daf\u00fcr, dass die TeamViewer Produktumgebung oder Kundendaten betroffen sein k\u00f6nnten. Die Untersuchungen laufen allerdings weiter und der Hauptfokus der gegenw\u00e4rtigen Bem\u00fchungen besteht darin, die Integrit\u00e4t der Systeme sicherzustellen.<\/p>\n

Extrem positiv ist hervorzuheben, dass TeamViewer offensiv mit dem Vorfall umgeht und viel Wert auf transparente Kommunikation legt. Das Unternehmen will regelm\u00e4\u00dfig Updates zum Stand unserer Untersuchungen ver\u00f6ffentlichen, wenn neue Informationen vorliegen. Das unterscheidet sich fundamental vom Verhalten des Konkurrenten AnyDesk, die im Dezember 2023 gehackt wurden, das aber unter der Decke hielte, bis ich die Details schrittweise hier im Blog offen gelegt habe (siehe Links am Artikelende).<\/p>\n

Teamviewer Remote<\/a> ist eine propriet\u00e4re Software f\u00fcr den Fernzugriff auf sowie die Fernsteuerung und die Fernwartung von Computern und anderen Endger\u00e4ten, die 2005 ver\u00f6ffentlicht wurde Das Unternehmen gibt an, dass sein Produkt derzeit von \u00fcber 640.000 Kunden weltweit genutzt wird und seit der Markteinf\u00fchrung auf \u00fcber 2,5 Milliarden Ger\u00e4ten installiert wurde. Im Jahr 2019 hatte ich hier im Blog den Beitrag TeamViewer-Hack: Hatte APT41-Gruppe Zugriff auf Millionen Ger\u00e4te?<\/a> publiziert, der auf einen vermuteten Hack einging (best\u00e4tigt wurde es m.W. nie).<\/p><\/blockquote>\n

Update vom 28. Juni 2024; 12:10 MEZ<\/h2>\n

Teamviewer hat zum 28. Juni 2024; 12:10 MEZ, ein Update seiner Informationen im TeamViewer Trust Center Sicherheitsstatus Datenschutz Schutz vor Missbrauch Sicherheit<\/a> erg\u00e4nzt. Ich stelle den Textauszug nachfolgend mal 1:1 ein.<\/p>\n

Eine Taskforce bestehend aus den Sicherheitsteams von TeamViewer und weltweit f\u00fchrenden Cybersicherheitsexperten hat rund um die Uhr mit allen verf\u00fcgbaren Mitteln an der Untersuchung des Vorfalls gearbeitet. Wir stehen zudem in st\u00e4ndigem Austausch mit weiteren Threat Intelligence Anbietern und relevanten Beh\u00f6rden, um eine bestm\u00f6gliche Aufkl\u00e4rung sicherzustellen.<\/p>\n

Aktuelle Ergebnisse der Untersuchung deuten auf einen Angriff am Mittwoch, den 26. Juni, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in unserer Corporate IT Umgebung erfolgte. Auf Basis kontinuierlichen Sicherheitsmonitorings haben unsere Teams ein verd\u00e4chtiges Verhalten des Kontos festgestellt und sofort Gegenma\u00dfnahmen ergriffen. Zusammen mit unserem externen Incident Response Dienstleister f\u00fchren wir den Angriff derzeit auf die als APT29 \/ Midnight Blizzard bekannte Gruppe zur\u00fcck. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschr\u00e4nkt. Es gibt keine Hinweise darauf, dass die Angreifer Zugang zu unserer Produktumgebung oder zu Kundendaten erlangt haben.<\/p>\n

Gem\u00e4\u00df unserer Best-Practice Systemarchitektur verf\u00fcgt TeamViewer \u00fcber eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer Konnektivit\u00e4tsplattform. Dies bedeutet, dass wir alle Server, Netzwerke und Konten strikt getrennt halten, um unbefugten Zugriff und Bewegungen zwischen den verschiedenen Umgebungen zu verhindern. Diese Trennung ist eine von mehreren Schutzebenen in unserem \"Defense in-depth\" Ansatz.<\/p>\n

Sicherheit ist f\u00fcr uns von gr\u00f6\u00dfter Bedeutung, sie ist tief in unserer DNA verwurzelt. Daher verpflichten wir uns zu einer transparenten Kommunikation mit allen Beteiligten. Wir werden den Status der Untersuchungen weiter in\u00a0unserem Trust Center<\/a>\u00a0aktualisieren, sobald neue Informationen verf\u00fcgbar sind. Wir gehen davon aus, dass wir das n\u00e4chste Update bis zum Ende des heutigen Tages MESZ ver\u00f6ffentlichen werden.<\/p><\/blockquote>\n

In dieser Erg\u00e4nzung wird die obige Erw\u00e4hnung von Midnight Blizzard (ist ebenfalls ein alternativer Name f\u00fcr APT29 oder Cozy Bear) durch mich best\u00e4tigt. Interessant sind die Ergebnisse der Untersuchung, die auf einen Angriff am Mittwoch, den 26. Juni 2024, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in der Teamviewer Corporate IT Umgebung erfolgte, hindeuten. Auf Basis kontinuierlichen Sicherheits-Monitorings habe das Team des Unternehmens ein verd\u00e4chtiges Verhalten des Kontos festgestellt und sofort Gegenma\u00dfnahmen ergriffen. Aktuell wird die Untersuchung des Vorfalls mit einem externen Incident Response Dienstleister fortgesetzt. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschr\u00e4nkt, schreibt das Unternehmen.<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese<\/a> Teil 5
\nAnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a> \u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a> \u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen (FAQ) vom 5. Februar 2024<\/a> -Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a> \u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12
\nAnyDesk Client: Neue Zertifikatsprobleme zum 25. April 2024<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Fernwartungsanbieter TeamViewer ist wohl Opfer eines erfolgreichen Cyberangriffs geworden. Ungekannte T\u00e4ter (es wird \u00fcber APT29 gemunkelt) konnten in die interne IT-Umgebung eindringen und sich im Netzwerk tummeln. Allerdings gibt der Anbieter an, dass seine Produktumgebung nicht betroffen sei. Es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-296685","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296685","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296685"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296685\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296685"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296685"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296685"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}