Cyberangriff auf TeamViewer
Die IT-Umgebung von TeamViewer wurde offenbar Ziel eines Angriffs. So entdeckte das Security-Team des Unternehmens am 26. Juni 2024 nach eigener Aussage eine Auffälligkeit in der internen IT-Umgebung. Kundendaten sollen nach bisherigen Erkenntnissen nicht betroffen sein, die Aufklärungsmaßnahmen laufen.
Der Fernwartungsanbieter TeamViewer wurde offenbar Opfer eines Cyberangriffs. So hätten sich Hacker Zugang zur IT-Umgebung des Göppinger Unternehmens verschafft. Dabei gebe es bislang keine Hinweise darauf, dass die Produktumgebung oder Kundendaten betroffen seien. TeamViewers interne IT-Umgebung sei demnach von der Produktumgebung getrennt.
Die Untersuchungen dauerten an, und die Integrität der Systeme habe oberste Priorität, betonte TeamViewer in einer Stellungnahme. Das Unternehmen lege nach eigenen Aussagen großen Wert auf transparente Kommunikation und will regelmäßig Updates zur Untersuchung veröffentlichen, sobald neue Informationen vorliegen.
Womöglich APT-Angriff
TeamViewer ist ein weltweit führender Anbieter von Software für Fernzugriff, Fernwartung und Online-Kollaboration. Die Software ermöglicht es Nutzern, von überall auf der Welt auf Geräte zuzugreifen und diese zu steuern, wodurch sie in der IT-Support-Branche weit verbreitet ist. Entsprechend interessant dürfte das Unternehmen für Cyberangriffe sein. Berichten zufolge soll die Gruppe "APT29" hinter der Attacke stecken und die Remote-Access- und Support-Plattform infiltriert haben.
Solange die Situation noch unklar ist, sollten Admins einige Sicherheitsmaßnahmen umsetzen. Dazu kann das vorübergehende Deaktivieren der TeamViewer-Software gehören, wo sie nicht dringend benötigt wird. Zudem lässt sich im Client eine Allowlist einrichten. Auf dieser können etwa auf kritischen Systemen nur wirklich vertrauenswürdige TeamViewer-Instanzen stehen – alle anderen Verbindungen lehnt der Client dann ab, auch wenn das korrekte Passwort verwendet wird. Ebenfalls empfehlenswert ist ein Blick in die Logfiles, ob hier womöglich unbekannte Gegenstellen auftauchen oder zu ungewöhnlichen Zeiten auf Systeme zugegriffen wurde.
Update vom 28.06., 12:10 Uhr
TeamViewer hat kurz nach 12 Uhr seine Stellungnahme akualisiert und Details des Angriffs genannt:
Aktuelle Ergebnisse der Untersuchung deuten auf einen Angriff am Mittwoch, den 26. Juni, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in unserer Corporate IT Umgebung erfolgte. Auf Basis kontinuierlichen Sicherheitsmonitorings haben unsere Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen.
Zusammen mit unserem externen Incident Response Dienstleister führen wir den Angriff derzeit auf die als APT29 / Midnight Blizzard bekannte Gruppe zurück. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschränkt. Es gibt keine Hinweise darauf, dass die Angreifer Zugang zu unserer Produktumgebung oder zu Kundendaten erlangt haben.