AnyDesk взломан хакерами — срочно меняйте пароли
Содержание
AnyDesk подтвердила, что они были взломаны в январе 2024 года, затронуты все производственные системы.
Наши опасения подтвердились: многодневное «обслуживание» веб-сайтов AnyDesk является результатом кибератаки. Производственные системы AnyDesk были взломаны. Все программное обеспечение AnyDesk следует считать взломанным. После того, как немецкий CERT (BSI) разослал конфиденциальное предупреждение пользователям критически важных инфраструктур, мы наконец то получили отчет об инциденте от AnyDesk. Ниже собраны все имеющиеся у нас данные об инциденте в одной статье.
Что делать?
✓ Обновиться Anydesk до последней версии!
✓ Сменить пароль от Anydesk
История этой кибератаки
25 января 2024 года со мной связался читатель и пожаловался на постоянные «сбои» в программе удаленного обслуживания AnyDesk. С 20 января 2024 года ридер больше не мог устанавливать соединение. Кроме того, внезапно перестали приниматься лицензионные ключи. Служба поддержки AnyDesk лишь заявила, что «в настоящее время возникли проблемы с подключением к серверу». Ниже приведен скриншот заявления (на немецком языке) от службы поддержки AnyDesk.
Кто или что такое AnyDesk?
AnyDesk — поставщик, предлагающий программное обеспечение для удаленного администрирования. Программный продукт был разработан бывшими сотрудниками TeamViewer и долгое время рассматривался как альтернатива этому продукту. AnyDesk используется многими компаниями, при этом у провайдера в общей сложности 170 000 клиентов. Также упоминаются такие имена, как 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS и Организация Объединенных Наций. AnyDesk также интегрирован в некоторые продукты.
Первые признаки взлома
Из-за загадочного намека анонимного источника на то, что AnyDesk больше не следует использовать в критических средах, было написано в некоторых источниках ранее. И выяснилось, что 29 января 2024 года AnyDesk заменила сертификаты, используемые для цифровой подписи клиента AnyDesk версии 8.0.8, согласно журналу изменений.
Конфиденциальное предупреждение немецкого CERT (BSI)
Федеральное управление информационной безопасности (BSI) на этой неделе разослало предупреждение операторам критически важных инфраструктур, но присвоило ему классификацию TLP, так что только очень небольшой группе людей было разрешено просмотреть его и ни при каких обстоятельствах не делиться им. Информацию о классификации TLP можно найти здесь. Документ был классифицирован как TLP:AMBER+STRICT — содержание до сих пор неизвестно — но скорей всего произошел взлом, в результате которого произошла утечка ключей.
AnyDesk подтверждает успешную кибератаку
В «отчете об инциденте», обещанном AnyDesk и отправленном по электронной почте несколько часов назад, подозрения о кибератаке подтверждаются. Краткий отчет об инциденте доступен здесь. AnyDesk подтверждает, что проверка безопасности была проведена после обнаружения инцидента в некоторых из ее собственных систем — это выявило доказательства взлома производственных систем.
Инцидент в конце января 2024 года?
В отчете об инцидентах не указаны какие-либо даты, но проверка, вероятно, была инициирована 29 или 30 января 2024 года, что соответствует началу этапа технического обслуживания 30 января 2024 года. AnyDesk заявляет, что немедленно активировала план исправления и реагирования с участием экспертов по кибербезопасности CrowdStrike.
Раскрытие информации произошло на следующий день после того, как Cloudflare заявила, что ее взломал хакер, использовавший украденные учетные данные для получения несанкционированного доступа к своему серверу Atlassian и, в конечном итоге, к некоторой документации и ограниченному количеству исходного кода.
Ремонт завершен, сообщили властям
В отчете также говорится, что план восстановления был успешно выполнен. Соответствующие органы были уведомлены, и компания тесно сотрудничает с ними. Компания отрицает, что этот инцидент является заражением программой-вымогателем. Вероятно, это и привело к упомянутому выше предупреждению BSI с блоком «TLP:AMBER+STRICT», подчеркивающему взрывоопасный характер инцидента.
Сертификаты и пароли отозваны
Затем AnyDesk отозвала все сертификаты, связанные с безопасностью, и при необходимости системы были отремонтированы или заменены, говорится в отчете. Этим и объясняется многодневный режим обслуживания систем. Предыдущий сертификат подписи кода для бинарных файлов AnyDesk теперь должен быть отозван в ближайшее время, и AnyDesk уже начала заменять его на новый, пишет провайдер.
Это подтверждает наблюдение о том, что клиент AnyDesk версии 8.0.8 от 29 января 2024 года был подписан новым сертификатом. Коллеги из Bleeping Computer, назвали старый и новый сертификат, используемый в этой статье.
Пароли пользователей следует изменить
В отчете о инцидентах AnyDesk пишет:
«В качестве меры предосторожности мы отозвали все пароли для нашего веб-портала my.anydesk.com и рекомендуем пользователям сменить свои пароли, если они используют те же данные для входа в другое место».
Нет доказательств эксплуатации?
AnyDesk пишет об этом инциденте, что на сегодняшний день нет никаких признаков того, что конечные устройства пострадали. Они могут подтвердить, что ситуация находится под контролем и что AnyDesk можно безопасно использовать. Пользователи должны убедиться, что они используют последнюю версию с новым сертификатом подписи кода.
AnyDesk приходит к выводу, что системы спроектированы так, чтобы не хранить закрытые ключи, токены безопасности или пароли, которые могут быть использованы для подключения к устройствам конечных пользователей.
