Разработчики AnyDesk сообщили, что недавно компания подверглась кибератаке, и хакерам удалось получить доступ к ее производственным системам. СМИ сообщают, что в итоге злоумышленники украли исходный код и сертификаты подписи кода.
AnyDesk – известное решение для удаленного управления рабочим столом, весьма популярное в корпоративных средах. Согласно официальным данным, у компании насчитывается более 170 000 клиентов, среди которых числятся Comcast, Samsung, MIT, LG, Nvidia, Siemens, ООН и так далее.
Официальное заявление разработчиков гласит, что взлом был обнаружен после выявления подозрительной активности в системах компании. После этого был проведен аудит безопасности, который обнаружил компрометацию производственных систем. При этом подчеркивается, что речь идет не о вымогательской атаке, и расследованием случившегося уже занимаются правоохранительные органы и эксперты ИБ-компании CrowdStrike.
Известно, что после обнаружения взлома AnyDesk отозвала все связанные с безопасностью сертификаты, а также восстановила или заменила ряд систем. В компании заверили, что AnyDesk полностью безопасен для клиентов и нет никаких доказательств того, что устройства конечных пользователей пострадали в результате инцидента.
Цитата:| «Мы можем подтвердить, что ситуация находится под контролем, и пользоваться AnyDesk безопасно. Пожалуйста, убедитесь, что вы используете последнюю версию с новым сертификатом подписи кода», — говорится в официальном заявлении. |
Хотя представители AnyDesk не сообщают никаких подробностей случившегося, издание Bleeping Computer, со ссылкой на собственные источники, пишет, что злоумышленники похитили у компании исходники и сертификаты подписи кода.
Несмотря на то, что компания утверждает, что аутентификационные токены не были украдены, в качестве меры предосторожности AnyDesk сбросила пароли к своему веб-порталу my.anydesk[.]com и рекомендует клиентам как можно скорее сменить пароли, если они повторно использовались на других сайтах.
Цитата:| «AnyDesk спроектирован таким образом, что аутентификационные токены сессий невозможно украсть. Они существуют только на устройстве конечного пользователя и связаны с профилем его устройства. Эти токены никогда не контактируют с нашими системами, — сообщают в AnyDesk. — Мы не обнаружили признаков перехвата сессий, потому что это невозможно». |
Журналисты сообщают, что компания уже начала замену украденных сертификатов подписи кода: Гюнтер Борн (Günter Born) из BornCity первым заметил, что в версии AnyDesk 8.0.8, выпущенной 29 января 2024 года, используется новый сертификат.
Так, оказалось, что старые исполняемые файлы были подписаны именем philandro Software GmbH с серийным номером 0dbf152deaf0b981a8a938d53f769db8. Новая версия же подписана AnyDesk Software GmbH с серийным номером 0a8177fcd8936a91b5e0eddf995b0ba5.
Издание отмечает, что обычно сертификаты не аннулируются, если они не были скомпрометированы (например, украдены в ходе атаки или случайно обнародованы публично).
Также Борн пишет, что недавно у AnyDesk произошел четырехдневный сбой в работе, начавшийся с 29 января. В эти дни компания отключила возможность входа в клиент AnyDesk, сообщая, что «проводятся профилактические работы». Позже доступ был восстановлен.
Интересно, что специалисты ИБ-компании Resecurity предупреждают, что двое злоумышленников (один из которых использует ник Jobaaaaa) уже рекламируют на хак-форуме Exploit продажу учетных данных клиентов AnyDesk. Они пишут, что эту информацию можно использовать для «скама и рассылок».
За информацию о 18 317 аккаунтах продавец надеется выручить 15 000 долларов США в криптовалюте.
Цитата:| «Примечательно, что временные метки на скриншотах, которыми поделился злоумышленник, свидетельствуют об успешном несанкционированном доступе 3 февраля 2024 года (то есть уже после раскрытия инцидента), — пишут исследователи. |
Неясно, каким именно образом были получена эта информация, но, по мнению Resecurity, киберпреступники могут спешить монетизировать доступные учетные данные клиентов в свете того, что пароли могут быть сброшены. |
