Компанія AnyDesk підтвердила, що нещодавно зазнала кібератаки, яка дозволила хакерам отримати доступ до її виробничих систем. BleepingComputer дізнався, що під час атаки було викрадено вихідний код і ключі підпису приватного коду.
AnyDesk – це рішення для віддаленого доступу, яке дає змогу користувачам отримувати віддалений доступ до комп’ютерів через мережу або Інтернет. Програма дуже популярна серед підприємств, які використовують її для віддаленої підтримки або для доступу до розміщених серверів.
Програмне забезпечення популярне й серед зловмисників, які використовують його для постійного доступу до зламаних пристроїв і мереж.
Компанія повідомляє про 170 тисяч клієнтів, включно з 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS та ООН.
У заяві, надісланій BleepingComputer, AnyDesk стверджує, що вони вперше дізналися про атаку після виявлення ознак інциденту на своїх робочих серверах. Після проведення аудиту безпеки було визначено, що їхні системи зламані, і за допомогою фірми з кібербезпеки CrowdStrike активовано план реагування.
Компанія не поділилася подробицями щодо того, чи були дані викрадені під час атаки. Однак BleepingComputer дізнався, що зловмисники викрали вихідний код і сертифікати підпису коду.
Компанія також підтвердила, що програмне забезпечення-вимагач не було задіяно, але не надала надто багато інформації про атаку. Там тільки заявили, що їхні сервери були зламані.
В AnyDesk кажуть, що відкликали сертифікати, пов’язані з безпекою, і виправили або замінили системи, якщо це було необхідно.
Вони також запевнили клієнтів, що використання AnyDesk безпечне та що немає доказів того, що інцидент вплинув на пристрої кінцевих користувачів.
«Ми можемо підтвердити, що ситуація під контролем і використовувати AnyDesk безпечно. Будь ласка, переконайтеся, що ви використовуєте останню версію з новим сертифікатом підпису коду», – йдеться в публічній заяві AnyDesk.
Хоча компанія заявляє, що маркери автентифікації не були викрадені, з обережності AnyDesk скасовує всі паролі до свого вебпорталу і пропонує змінити пароль, якщо він використовується на інших сайтах.
«AnyDesk розроблено таким чином, що токени автентифікації неможливо викрасти. Вони існують лише на пристрої кінцевого користувача та пов’язані з відбитком пальця на пристрої. Ці токени ніколи не торкаються наших систем», – сказали в AnyDesk у коментарі для BleepingComputer.
Компанія вже почала замінювати сертифікати підпису викраденого коду. Гюнтер Борн із BornCity вперше повідомив, що вони використовують новий сертифікат у версії 8.0.8 AnyDesk, випущеній 29 січня.
Єдина перерахована зміна в новій версії полягає у тому, що компанія перейшла на новий сертифікат підпису коду та незабаром відкличе старий.
BleepingComputer переглянув попередні версії програмного забезпечення. Старі виконувані файли були підписані під назвою «philandro Software GmbH» із серійним номером 0dbf152deaf0b981a8a938d53f769db8. Нова версія тепер підписана «AnyDesk Software GmbH» із серійним номером 0a8177fcd8936a91b5e0eddf995b0ba5.
Сертифікати зазвичай не анулюються, якщо їх не було зламано, наприклад викрадено під час атак або оприлюднено.
Незважаючи на те, що AnyDesk не повідомила, коли саме стався злам, Борн зазначив, що AnyDesk зазнала чотириденного збою, починаючи з 29 січня. Під час нього компанія відключила можливість входу в клієнт AnyDesk.
«my.anydesk II зараз проходить технічне обслуговування, яке, як очікується, триватиме протягом наступних 48 годин або менше. Ви все ще можете отримати доступ до свого облікового запису та користуватися ним у звичайному режимі. Вхід у клієнт AnyDesk буде відновлено після завершення обслуговування», – йдеться на сторінці повідомлення про статус програми AnyDesk.
Доступ було відновлено, що дозволило користувачам увійти до своїх облікових записів, але AnyDesk не вказала жодних причин для підтримки в оновленнях статусу. Однак у компанії підтвердили BleepingComputer, що це обслуговування пов’язане з інцидентом кібербезпеки.
Наполегливо рекомендуємо всім користувачам перейти на нову версію програмного забезпечення, оскільки старий сертифікат підпису коду незабаром буде відкликано.
Крім того, хоча AnyDesk заявляє, що паролі не були викрадені під час атаки, зловмисники отримали доступ до робочих систем, тому всім користувачам рекомендується змінити свої паролі. Якщо вони використовують свій пароль AnyDesk на інших сайтах, його слід змінити і там.
Раніше ProIT розповідав, як українська ІТ-Армія паралізувала роботу російської 1С-Рарус.
Також ми писали, хто стоїть за атакою на «Київстар» та як Україна може протистояти хакерам.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!