AnyDesk ogłosił wczoraj (02.02.2024r.), iż padł ofiarą niedawnego ataku cybernetycznego, co umożliwiło hakerom dostęp do systemów produkcyjnych firmy. W wyniku ataku skradziono kod źródłowy oraz prywatne klucze do podpisywania kodu.
AnyDesk to popularne rozwiązanie do zdalnego dostępu, pozwalające użytkownikom łączyć się z komputerami przez sieć lub Internet. Program ten jest używany zarówno w przedsiębiorstwach do zdalnego wsparcia, jak i przez cyberprzestępców do utrzymywania stałego dostępu do naruszonych urządzeń i sieci. Firma posiada 170 000 klientów, w tym takie przedsiębiorstwa jak 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS, oraz ONZ.
AnyDesk potwierdził atak w oświadczeniu udostępnionym w piątek. Firma wykryła incydent na swoich serwerach produktowych i po przeprowadzeniu audytu bezpieczeństwa stwierdziła, iż systemy zostały skompromitowane. Wspólnie z firmą z obszaru cyberbezpieczeństwa CrowdStrike, uruchomiono plan reagowania na incydent. Firma nie ujawniła szczegółów dotyczących ewentualnej kradzieży danych. Niemniej jednak wiadomo, iż sprawcy pozyskali kod źródłowy i certyfikaty podpisywania kodu.
AnyDesk potwierdził, iż atak nie był atakiem ransomware, ale nie ujawnił szczegółów dotyczących samego ataku. Firma skupiła się głównie na opisie podejścia do reakcji na incydent.
W ramach reakcji na atak, AnyDesk unieważnił certyfikaty związane z bezpieczeństwem, podjął działania naprawcze i wymienił systemy. Firma zapewniła klientów, iż AnyDesk przez cały czas jest bezpieczny w użyciu, a urządzenia końcowe użytkowników nie były dotknięte incydentem.
Firma rozpoczęła proces wymiany skradzionych certyfikatów podpisywania kodu, co potwierdził Günter Born z BornCity, informując o nowym certyfikacie w wersji AnyDesk 8.0.8 wydanej 29 stycznia.
AnyDesk nie podał daty ataku, ale z informacji Borna wynika, iż firma doświadczyła czterodniowej przerwy od 29 stycznia, w trakcie której wyłączono możliwość logowania do klienta AnyDesk. Dostęp został przywrócony wczoraj.
AnyDesk zaleca wszystkim użytkownikom przełączenie się na najnowszą wersję oprogramowania, gdyż stary certyfikat podpisywania kodu zostanie unieważniony. Pomimo braku informacji o kradzieży haseł, zaleca się zmianę haseł, a także, jeżeli używane są one na innych stronach.
W ostatnich tygodniach pojawiły się informacje o atakach na znane firmy, takie jak Cloudflare i Microsoft. Cloudflare ujawnił, iż został zhakowany w Dzień Dziękczynienia przy użyciu skradzionych kluczy uwierzytelniania z ataku na Okta. Microsoft również poinformował o włamaniu przez rosyjskich hakerów, którzy atakowali również HPE w maju.