La compagnie TeamViewer a rapporté le vendredi 28 juin une intrusion cybernétique attribuée à APT29, une unité des services de renseignements russes notoirement liée à des opérations d’espionnage complexes. Dans sa déclaration, TeamViewer, qui avait préalablement fait état de certaines « anomalies » au sein de son système, a suscité de vives inquiétudes auprès des experts. La société est mondialement réputée pour ses outils accessibles à distance et largement utilisés, notamment pour une prise de contrôle partagée lors d’opérations de dépannage technique. Pour l’instant, TeamViewer pense que l’intrusion a été limitée à une portion spécifique de son réseau et que les pirates n’ont pas réussi à accéder aux données des clients ou à l’infrastructure relative aux produits créés par la compagnie. Un autre communiqué est attendu avant la fin de la soirée (heure française).
L’attaque, selon la société, a débuté le 26 juin et a été réalisée en utilisant les identifiants d’un employé – une tactique souvent utilisée lors d’intrusions cybernétiques au sein de réseaux d’entreprise. Une alerte avait été émise le 27 juin par NCC Group, une compagnie spécialisée en sécurité informatique affirmant avoir reçu des informations sur une possible compromission de TeamViewer par APT29.
Pour les groupes d’espionnage, le développeur allemand, avec des centaines de milliers de clients à travers le monde, est une cible privilégiée. Le fait que leurs logiciels soient largement diffusés les rend particulièrement vulnérables. En cas de compromission ou modification, ces logiciels pourraient offrir un accès facile à d’autres réseaux. Ces techniques d’attaques, appelées « supply chain », ciblent des providers de services qui assurent l’approvisionnement d’entreprises et institutions mondiales. Elles représentent un des principaux dangers en termes d’espionnage et de cybercriminalité.
Le collectif APT 29, également connu sous le nom de Nobelium, est un acteur clé dans le domaine du cyberespionnage russe. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a révélé dans un rapport publié le 19 juin que ce groupe a ciblé plusieurs diplomates français depuis 2021, y compris l’ambassade de France à Kiev, via un courriel vérolé.
En outre, APT29 s’est distingué en menant des attaques similaires à celle qui a récemment touché TeamViewer. Selon John Hultquist, analyste principal chez Mandiant, ces actions seraient menées dans le but de collecter des informations au profit de la stratégie du Kremlin. Un exemple frappant est l’attaque sophistiquée menée en 2020 contre SolarWinds, une entreprise qui vend ses produits logiciels à des clients internationaux. Les cybercriminels d’APT29 ont ainsi réussi à intégrer une porte dérobée dans un logiciel de SolarWinds, leur permettant d’espionner les clients affectés.