W ubiegłym tygodniu (2 lutego) AnyDesk potwierdził, że padł ofiarą cyberataku, który umożliwił hakerom uzyskanie dostępu do systemów produkcyjnych firmy. Według informacji uzyskanych przez serwis BleepingComputer, w trakcie tego ataku skradziono nie tylko kod źródłowy, ale także prywatne klucze służące do podpisywania kodu.
AnyDesk to platforma umożliwiająca zdalny dostęp do komputerów za pośrednictwem sieci lub Internetu. Program ten zdobył dużą popularność wśród przedsiębiorstw, które wykorzystują go do zdalnego wsparcia technicznego lub dostępu do rozproszonych serwerów. Niestety, równie popularne stało się korzystanie z AnyDesk przez cyberprzestępców, którzy wykorzystują go do trwałego dostępu do skompromitowanych urządzeń i sieci.
Firma obsługuje 170 000 klientów, w tym renomowane przedsiębiorstwa i organizacje, takie jak 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS oraz ONZ.
AnyDesk zhakowany
AnyDesk potwierdził atak, informując, że odkryto go po wykryciu incydentu na ich serwerach produkcyjnych podczas rutynowego audytu bezpieczeństwa. Chociaż firma nie ujawniła szczegółów dotyczących naruszenia danych, BleepingComputer dowiedział się, że hakerzy przejęli kod źródłowy oraz certyfikaty podpisywania kodu. Firma podkreśla, że nie było to związane z ransomware.
W reakcji na naruszenie bezpieczeństwa firma unieważniła wszystkie związane z bezpieczeństwem certyfikaty, a systemy zostały naprawione lub wymienione, jeśli to było konieczne. Firma zapewniła klientów, że korzystanie z AnyDesk pozostaje bezpieczne, a incydent nie miał wpływu na urządzenia użytkowników końcowych
Mimo że firma twierdzi, że żadne tokeny uwierzytelniające nie zostały skradzione, zdecydowano się na prewencyjne wycofanie wszystkich haseł do portalu internetowego, zalecając zmianę haseł, jeśli były one używane w innych witrynach. AnyDesk podkreśla, że tokeny uwierzytelniania sesji są zaprojektowane w taki sposób, aby nie mogły zostać skradzione, ponieważ są przechowywane tylko na urządzeniu użytkownika końcowego i związane z odciskiem palca urządzenia.
Firma rozpoczęła już wymianę skradzionych certyfikatów podpisywania kodu. Günter Born z BornCity jako pierwszy poinformował o użyciu nowego certyfikatu w wersji 8.0.8, wydanej 29 stycznia. Jedyne zauważalne zmiany w tej wersji to nowy certyfikat podpisywania kodu, zastępujący stary.
BleepingComputer zweryfikował, że wcześniejsze pliki wykonywalne były podpisane przez “philandro Software GmbH” z numerem seryjnym 0dbf152deaf0b981a8a938d53f769db8. Nowa wersja jest teraz podpisana jako “AnyDesk Software GmbH” z numerem seryjnym 0a8177fcd8936a91b5e0eddf995b0ba5.
AnyDesk nie ujawnił dokładnej daty ataku, jednak informacje przekazane przez Güntera Borna wskazują, że firma przeszła czterodniową przerwę od 29 stycznia. W tym okresie zablokowano możliwość logowania do klienta AnyDesk, a pełen dostęp został przywrócony na początku lutego.
Co dalej?
W związku z incydentem, AnyDesk zaleca wszystkim użytkownikom aktualizację do najnowszej wersji oprogramowania, ponieważ stary certyfikat podpisywania kodu zostanie unieważniony. Choć brak szczegółowych informacji na temat potencjalnej kradzieży haseł, firma zaleca zmianę haseł i sugeruje również zmianę haseł w przypadku używania ich na innych platformach.
Badacze z firmy Resecurity zidentyfikowali podmioty oferujące duże ilości danych uwierzytelniających klientów AnyDesk na sprzedaż w Dark Web. Dane te pozyskane były z różnych źródeł, jednak istnieje ryzyko, że cyberprzestępcy, świadomi incydentu, chcą pospieszyć się z ich sprzedażą, z uwagi na środki, jakie AnyDesk może podjąć w celu zresetowania poświadczeń. Takie dane mogą być cenne zarówno dla brokerów początkowego dostępu (IAB), jak i grup ransomware, które często używają AnyDeska jako narzędzia po udanych włamaniach. Warto zauważyć, że zgodnie z informacjami uzyskanymi od badaczy, większość ujawnionych kont w Dark Web nie posiadała włączonego dwuskładnikowego uwierzytelniania (2FA).
AnyDesk dołączył do grona gigantów, które padły ofiarą cyberataków. Wśród nich znalazły się niedawno firmy takie jak Octa, Cloudflare i Microsoft. Wzrost liczby ataków na renomowane przedsiębiorstwa podkreśla ogromne wyzwanie związane z utrzymaniem bezpieczeństwa cybernetycznego w dzisiejszym środowisku online.
Czy Twoja firma jest gotowa na dzisiejszy krajobraz zagrożeń? Skontaktuj się z nami i sprawdź, co możemy dla Ciebie zrobić.
Źródło: Bleeping Computer, Security Affairs
Redaktorka Net Complex Blog
