Разработчики AnyDesk сообщили, что недавно компания подверглась кибератаке, и хакерам удалось получить доступ к ее производственным системам. СМИ сообщают, что в итоге злоумышленники украли исходный код и сертификаты подписи кода.
AnyDesk – известное решение для удаленного управления рабочим столом, весьма популярное в корпоративных средах. Согласно официальным данным, у компании насчитывается более 170 000 клиентов, среди которых числятся Comcast, Samsung, MIT, LG, Nvidia, Siemens, ООН и так далее.
Официальное заявление разработчиков гласит, что взлом был обнаружен после выявления подозрительной активности в системах компании. После этого был проведен аудит безопасности, который обнаружил компрометацию производственных систем. При этом подчеркивается, что речь идет не о вымогательской атаке, и расследованием случившегося уже занимаются правоохранительные органы и эксперты ИБ-компании CrowdStrike.
Известно, что после обнаружения взлома AnyDesk отозвала все связанные с безопасностью сертификаты, а также восстановила или заменила ряд систем. В компании заверили, что AnyDesk полностью безопасен для клиентов и нет никаких доказательств того, что устройства конечных пользователей пострадали в результате инцидента.
«Мы можем подтвердить, что ситуация находится под контролем, и пользоваться AnyDesk безопасно. Пожалуйста, убедитесь, что вы используете последнюю версию с новым сертификатом подписи кода», — говорится в официальном заявлении.
Хотя представители AnyDesk не сообщают никаких подробностей случившегося, издание Bleeping Computer, со ссылкой на собственные источники, пишет, что злоумышленники похитили у компании исходники и сертификаты подписи кода.
Несмотря на то, что компания утверждает, что аутентификационные токены не были украдены, в качестве меры предосторожности AnyDesk сбросила пароли к своему веб-порталу my.anydesk[.]com и рекомендует клиентам как можно скорее сменить пароли, если они повторно использовались на других сайтах.
«AnyDesk спроектирован таким образом, что аутентификационные токены сессий невозможно украсть. Они существуют только на устройстве конечного пользователя и связаны с профилем его устройства. Эти токены никогда не контактируют с нашими системами, — сообщают в AnyDesk. — Мы не обнаружили признаков перехвата сессий, потому что это невозможно».
Журналисты сообщают, что компания уже начала замену украденных сертификатов подписи кода: Гюнтер Борн (Günter Born) из BornCity первым заметил, что в версии AnyDesk 8.0.8, выпущенной 29 января 2024 года, используется новый сертификат.
Так, оказалось, что старые исполняемые файлы были подписаны именем philandro Software GmbH с серийным номером 0dbf152deaf0b981a8a938d53f769db8. Новая версия же подписана AnyDesk Software GmbH с серийным номером 0a8177fcd8936a91b5e0eddf995b0ba5.
Издание отмечает, что обычно сертификаты не аннулируются, если они не были скомпрометированы (например, украдены в ходе атаки или случайно обнародованы публично).
Также Борн пишет, что недавно у AnyDesk произошел четырехдневный сбой в работе, начавшийся с 29 января. В эти дни компания отключила возможность входа в клиент AnyDesk, сообщая, что «проводятся профилактические работы». Позже доступ был восстановлен.
Интересно, что специалисты ИБ-компании Resecurity предупреждают, что двое злоумышленников (один из которых использует ник Jobaaaaa) уже рекламируют на хак-форуме Exploit продажу учетных данных клиентов AnyDesk. Они пишут, что эту информацию можно использовать для «скама и рассылок».
За информацию о 18 317 аккаунтах продавец надеется выручить 15 000 долларов США в криптовалюте.
«Примечательно, что временные метки на скриншотах, которыми поделился злоумышленник, свидетельствуют об успешном несанкционированном доступе 3 февраля 2024 года (то есть уже после раскрытия инцидента), — пишут исследователи.
Неясно, каким именно образом были получена эта информация, но, по мнению Resecurity, киберпреступники могут спешить монетизировать доступные учетные данные клиентов в свете того, что пароли могут быть сброшены.
