AnyDesk — это решение для удаленного доступа к компьютерам через локальную сеть или Интернет. Программа очень популярна среди предприятий, которые используют ее для удаленной поддержки или для доступа к общим серверам.
ПО AnyDesk также популярно среди злоумышленников, которые используют его для постоянного доступа к взломанным устройствам и сетям.
По данным компании, ее продуктами пользуется 170 000 клиентов, включая 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS и ООН.
Взлом AnyDesk
В официальном заявлении AnyDesk сообщает, что впервые узнала об атаке после обнаружения признаков инцидента на своих производственных серверах.
По итогам аудита безопасности было установлено, что системы AnyDesk были скомпрометированы, после чего был задействован план реагирования с помощью компании по кибербезопасности CrowdStrike.
AnyDesk не поделилась подробностями о том, были ли украдены данные во время атаки. Однако, порталу BleepingComputer стало известно, что злоумышленники украли исходный код и сертификаты подписи кода.
Компания подтвердила, что программа-вымогатель не причастна к атаке, но другие детали не раскрыла, а в основном сосредоточилась на том, как они отреагировали на инцидент.
Компания отозвала сертификаты, связанные с безопасностью, а также исправила или заменила скомпрометированные системы. AnyDesk заверила клиентов, что использование сервиса безопасно и что инцидент не затронул устройства конечных пользователей.
В публичном заявлении AnyDesk говорится:
Мы можем подтвердить, что ситуация находится под контролем и использовать AnyDesk безопасно. Пожалуйста, убедитесь, что вы используете последнюю версию с новым сертификатом подписи кода.
Сообщается, что токены аутентификации не были украдены, но AnyDesk из соображений предосторожности отзывает все пароли к своему веб-порталу и предлагает сменить пароль, если он используется на других сайтах.
Отвечая на запрос BleepingComputer, представитель AnyDesk отметил:
AnyDesk спроектирован таким образом, что токены аутентификации сеанса не могут быть украдены. Они существуют только на устройстве конечного пользователя и связаны с отпечатком устройства. Эти токены никогда не затрагивают наши системы.
У нас нет никаких признаков перехвата сеанса, поскольку, насколько нам известно, это невозможно.
Компания уже начала замену украденных сертификатов подписи кода. Гюнтер Борн (Gunter Born) из BornCity первым сообщил, что в AnyDesk версии 8.0.8, выпущенной 29 января используется новый сертификат. Единственное указанное изменение в новой версии — переход на новый сертификат подписи кода.
Предыдущие версии ПО были подписаны под именем «philandro Software GmbH» и серийным номером 0dbf152deaf0b981a8a938d53f769db8. Новая версия теперь подписана под именем AnyDesk Software GmbH и имеет серийный номер 0a8177fcd8936a91b5e0eddf995b0ba5, как показано ниже.
Подписанные AnyDesk 8.0.6 (слева) и AnyDesk 8.0.8 (справа)
Сертификаты обычно не признаются недействительными, если они не были скомпрометированы, например, украдены в результате атак или публично разоблачены.
Хотя AnyDesk не сообщила подробности атаки, Борн отметил, что компания пережила четырехдневный сбой с 29 января, во время которого была отключена возможность входа в клиент AnyDesk.
На странице статуса AnyDesk сообщается:
my.anydesk II в настоящее время находится на техническом обслуживании, которое, как ожидается, продлится в течение следующих 48 часов или меньше.
Вы по-прежнему можете получить доступ к своей учетной записи и использовать ее в обычном режиме. Вход в клиент AnyDesk будет восстановлен после завершения обслуживания.
1 февраля доступ был восстановлен, что позволило пользователям войти в свои учетные записи, но AnyDesk не указала причину обслуживания в обновлениях статуса.
Однако AnyDesk подтвердила BleepingComputer, что данное техническое обслуживание связано с инцидентом кибербезопасности.
Всем пользователям настоятельно рекомендуется перейти на новую версию ПО, так как старый сертификат подписи кода скоро будет отозван.
AnyDesk заявляет, что в ходе атаки пароли не были украдены, но злоумышленники все же получили доступ к производственным системам, поэтому всем пользователям AnyDesk настоятельно рекомендуется сменить свои пароли. Более того, если они используют свой пароль AnyDesk на других сайтах, его также следует изменить там.
Сообщения о новых взломах крупных компаний становятся еженедельными.
В начале февраля Cloudflare сообщила о взломе с использованием ключей аутентификации, украденных во время кибератаки Okta в прошлом году.
В конце января Microsoft также сообщила о кибератаке группировкой Midnight Blizzard, которая также атаковала HPE в мае 2023 года.
Угрозы безопасности
• Apple исправила первую в этом году активно эксплуатируемую уязвимость нулевого дня
• NVIDIA устранила уязвимости в драйверах графики, которые могли привести к утечке данных и компрометации системы
• Ботнет MikroTik использует уязвимость в DNS для распространения вирусов
• Контроллер USB-C для iPhone и его систему безопасности взломали – это могут использовать для джейлбрейка
• Microsoft: уязвимость macOS позволяет хакерам устанавливать вредоносные драйверы ядра
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев