Producent oprogramowania do zdalnego pulpitu AnyDesk ujawnił w piątek, że padł ofiarą cyberataku, który doprowadził do naruszenia bezpieczeństwa jego systemów produkcyjnych.
Niemiecka firma stwierdziła, że incydent, który wykryła w wyniku audytu bezpieczeństwa, nie jest atakiem typu ransomware i że powiadomiła odpowiednie władze.
„Unieważniliśmy wszystkie certyfikaty związane z bezpieczeństwem, a w niektórych przypadkach wymieniliśmy systemy” – stwierdziła firma w oświadczeniu. „Wkrótce unieważnimy poprzedni certyfikat podpisywania kodu dla naszych plików binarnych i już zaczęliśmy zastępować go nowym”.
Ze względów ostrożności AnyDesk unieważniło także wszystkie hasła do swojego portalu internetowego my.anydesk[.]com i nalega, aby użytkownicy zmienili swoje hasła, jeśli te same zostały ponownie użyte w innych usługach online.
Zaleca się również, by użytkownicy pobrali najnowszą wersję oprogramowania, która jest dostarczana z nowym certyfikatem do podpisywania kodu.
AnyDesk nie ujawniło, kiedy i w jaki sposób doszło do naruszenia jego systemów produkcyjnych. Obecnie nie wiadomo, czy w wyniku włamania skradziono jakiekolwiek informacje. Podkreślono jednak, że nie ma dowodów na to, by zagrożenie miało wpływ na jakiekolwiek systemy użytkowników końcowych.
Na początku tego tygodnia Günter Born z BornCity ujawnił, że od 29 stycznia AnyDesk było w fazie konserwacji. Problem został rozwiązany 1 lutego. Wcześniej, 24 stycznia, firma za pomocą swoich komunikatów powiadamiała również użytkowników o „sporadycznych przekroczeniach limitu czasu” i „pogorszeniu jakości usług”.
AnyDesk może pochwalić się ponad 170 000 klientami, w tym LG Electronics, Samsung Electronics, Spidercam i Thales.
Ujawnienie nastąpiło dzień po stwierdzeniu przez Cloudflare, że doszło do naruszenia przez podejrzanego atakującego z grup APT, który wykorzystał skradzione dane uwierzytelniające w celu uzyskania nieautoryzowanego dostępu do serwera Atlassian i ostatecznie uzyskania dostępu do części dokumentacji i ograniczonej ilości kodu źródłowego.
Firma Resecurity zajmująca się cyberbezpieczeństwem zadeklarowała, że znalazła dwóch cyberprzestępców, z których jeden występuje pod pseudonimem internetowym „Jobaaaaa”, reklamując „znaczną liczbę danych uwierzytelniających klientów AnyDesk na sprzedaż w Exploit[.]in”, zauważając, że można je wykorzystać do „wsparcia technicznego” oszustwa i phishingu. Przypominamy, że są to dane do uwierzytelnienia do portalu klienckiego.
Stwierdzono, że ugrupowanie zagrażające oferuje 18 317 kont za 15 000 dolarów w kryptowalutach, a także zgadza się na transakcję za pośrednictwem depozytu na forum cyberprzestępczości.
„W szczególności znaczniki czasu widoczne na udostępnionych przez aktora zrzutach ekranu ilustrują pomyślny nieautoryzowany dostęp z dnia 3 lutego 2024 r. (ujawnienie po incydencie)” – podała firma. „Możliwe, że nie wszyscy klienci zmienili swoje dane uwierzytelniające lub mechanizm ten nadal był stosowany przez zainteresowane strony”.
Nie jest jasne, w jaki sposób uzyskano dane uwierzytelniające, ale Resecurity twierdzi, że cyberprzestępcy mogą działać teraz w pośpiechu, aby jak najszybciej zarobić na dostępnych danych, biorąc pod uwagę fakt, że hasła można zresetować.