TeamViewer-Angriff: Die Spur führt nach Russland
Die Eindringlinge von "Cozy Bear" hatten offenbar die Zugangsdaten eines TeamViewer-Angestellten erbeutet, um in die IT-Infrastruktur einzudringen.
Die Firmenzentrale der TeamViewer GmbH im baden-württembergischen Göppingen.
(Bild: dpa, Christoph Schmidt)
Wie bereits gestern vermutet, stecken wohl russische Cyberspione hinter dem Angriff auf TeamViewer. Das Unternehmen bestätigte, dass interne und externe Sicherheitsexperten die Gruppierung "Cozy Bear" (in Microsoft-Sprache "Midnight Blizzard", auch als APT29 bezeichnet) hinter der Attacke vermuten. Cozy Bear steht in Zusammenhang mit dem russischen Militärgeheimdienst.
Wie TeamViewer erläutert, hatten die Angreifer sich am 26. Juni die Zugangsdaten eines Mitarbeiters oder einer Mitarbeiterin verschafft – ob durch Social Engineering, Phishing oder andere Methoden, lässt die Mitteilung offen. Mit diesen Zugangsdaten sei "Cozy Bear" dann in die IT-Umgebung des Unternehmens eingedrungen. Durch verdächtiges Verhalten sei die feindliche Kontenübernahme jedoch schnell aufgefallen und habe Gegenmaßnahmen ausgelöst.
Aktuell, so TeamViewer, sehe es nicht so aus, dass die Angreifer Zugriff auf Kundendaten oder die Produktionsumgebung des Fernwartungstools hatten. Diese sei ohnehin streng vom Rest der Firmen-IT abgeschottet, um ein Weiterhangeln bei Angriffen zu erschweren. Dennoch ist unklar, ob Unternehmen und Privatleute, die TeamViewer verwenden, gefährdet sind. Das Unternehmen sichert volle Transparenz zu und aktualisiert seine Sicherheitswarnung laufend.
Die Angreifergruppe "Cozy Bear" wird mutmaßlich vom russischen Auslandsgeheimdienst SWR (Служба внешней разведки) gesteuert. Sie ist bereits seit über 15 Jahren aktiv und hat unter anderem bei der CDU herumgeschnüffelt und Quellcode von Microsoft gestohlen.
Link zur Sicherheitswarnung korrigiert – dieser zeigte irrtümlich auf eine heise-Meldung.
(cku)
