国际知名远程连接软件厂商TeamViewer上周五确认，一家极其活跃的俄罗斯黑客组织在上周早些时候入侵了其公司IT环境。

在最新声明中，该公司将最近宣布的事件归咎于APT29。这家黑客组织又叫Cozy Bear、BlueBravo和Midnight Blizzard。据信，该组织隶属于俄罗斯的对外情报局（SVR），参与了过去十年中几起最重要的黑客事件，包括2020年的“太阳风”（SolarWinds）黑客事件和2016年对美国民主党全国委员会的攻击。

TeamViewer解释说，上周三的黑客攻击利用了公司IT环境中“一个普通员工账号的凭证”。

声明中提到，目前“没有证据”表明APT29能够访问公司的产品环境或客户数据，并指出公司IT网络与其他系统是隔离的。

公司解释说：“这意味着我们将所有服务器、网络和账号严格分开，从而防止未经授权的访问，以及在不同环境之间的横向移动。”

TeamViewer发言人没有回应有关APT29访问了哪些系统或数据的问题。上周五下午，TeamViewer发布信息更新，确认攻击“仅限于TeamViewer的内部公司IT环境，并未触及产品环境、连接平台或任何客户数据。”公司承诺将继续调查该事件。

安全专家建议暂时删除TeamViewer

该事件在上周四曝光。当时一些组织开始警告客户和成员，APT29对TeamViewer发动了攻击。网络安全公司NCC Group和一家医疗行业网络安全联盟都针对入侵事件发布了私密警报。

NCC Group全球威胁情报负责人Matt Hull建议，在更多信息出现之前，删除TeamViewer软件“将有助于预防通过这一途径的任何潜在入侵。”

Hull表示：“我们还建议检查安装了该软件的主机是否有异常行为。如有异常，说明主机可能已被入侵。如果您无法删除该应用程序，则应对安装了该程序的主机加以高度监控，这样能会为您提供进一步的保障。”

谷歌云安全公司Mandiant的首席分析师John Hultquist表示，APT29是“我们跟踪的最具挑战性的行为者之一，他们正在针对各种规模的科技公司发动攻击。”该组织一般会努力保持隐匿，但“并不害怕发动大胆的供应链攻击。”

Hultquist表示，APT29的重点是获取有助于克里姆林宫做出战略决策的情报，特别是能够提供对外事务洞见的数据。

APT29最近被牵涉到对微软的一次重大攻击中。这次攻击暴露了几家美国联邦机构的电子邮件，这些邮件可能包含认证详细信息或凭证。

彭博社在上周四晚间报道，微软已经开始通知更多的组织，他们的电子邮件和其他信息在APT29的攻击中被访问。

Hultquist指出，APT29最近还针对德国的政党进行了攻击。

他说：“由于乌克兰冲突，俄罗斯安全部门正承受着巨大的压力，需要支持战争行为和俄罗斯领导层。俄罗斯间谍能够收集情报的任何地方都将感受到这种压力。”

参考资料：https://therecord.media/teamviewer-cozy-bear-hack-confirmed

来源：安全内参