AnyDesk je danas potvrdio da je pretrpio nedavni sajber napad koji je hakerima omogućio pristup proizvodnim sistemima kompanije. BleepingComputer je saznao da su izvorni kod i ključevi za potpisivanje privatnog koda ukradeni tokom napada.
AnyDesk je rješenje za daljinski pristup koje korisnicima omogućava daljinski pristup računarima preko mreže ili interneta. Program je veoma popularan među preduzećima, koja ga koriste za daljinsku podršku ili za pristup serverima koji se nalaze na lokaciji.
Softver je također popularan među hakerima koji ga koriste za uporan pristup probijenim uređajima i mrežama.
Kompanija navodi da ima 170.000 kupaca, uključujući 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS i Ujedinjene nacije.
AnyDesk hakovan
U izjavi koju je podijelio s BleepingComputer-om kasno popodne, AnyDesk kaže da su prvi put saznali za napad nakon što su otkrili naznake incidenta na njihovim produkcijskim serverima.
Nakon obavljene sigurnosne revizije, utvrdili su da su njihovi sistemi kompromitovani i aktivirali plan odgovora uz pomoć kompanije za sajber sigurnost CrowdStrike.
AnyDesk nije podijelio detalje o tome da li su podaci ukradeni tokom napada. Međutim, BleepingComputer je saznao da su hakeri ukrali izvorni kod i certifikate za potpisivanje koda.
Kompanija je takođe potvrdila da ransomware nije umiješan, ali nije podijelila previše informacija o napadu osim da su njihovi serveri probijeni, a izvještaj se uglavnom fokusirao na to kako su odgovorili na incident.
Kao dio svog odgovora, AnyDesk kaže da su opozvali sigurnosne certifikate i po potrebi popravili ili zamijenili sisteme. Također su uvjerili kupce da je AnyDesk siguran za korištenje i da nema dokaza da je incident uticao na uređaje krajnjih korisnika.
“Možemo potvrditi da je situacija pod kontrolom i da je bezbjedno koristiti AnyDesk. Uvjerite se da koristite najnoviju verziju, sa novim sertifikatom za potpisivanje koda”, rekao je AnyDesk u javnoj izjavi.
Iako kompanija kaže da nisu ukradeni tokeni za autentifikaciju, iz opreza, AnyDesk opoziva sve lozinke za njihov web portal i predlaže promjenu lozinke ako se koristi na drugim stranicama.
“AnyDesk je dizajniran na način da se tokeni za autentifikaciju sesije ne mogu ukrasti. Oni postoje samo na uređaju krajnjeg korisnika i povezani su s otiskom prsta uređaja. Ovi tokeni nikada ne dodiruju naše sisteme”, rekao je AnyDesk za BleepingComputer kao odgovor na naša pitanja o napadu.
“Nemamo naznaka o otmici sesije jer znamo da to nije moguće.”
Kompanija je već počela sa zamjenom ukradenih certifikata za potpisivanje koda, a Günter Born iz BornCityja je prvi prijavio da koriste novi certifikat u AnyDesk verziji 8.0.8, objavljenoj 29. januara. Jedina navedena promjena u novoj verziji je da je kompanija prešla na novi certifikat za potpisivanje koda i uskoro će opozvati stari.
BleepingComputer je pogledao prethodne verzije softvera, a starije izvršne datoteke su potpisane pod imenom ‘philandro Software GmbH’ sa serijskim brojem 0dbf152deaf0b981a8a938d53f769db8. Nova verzija je sada potpisana pod ‘AnyDesk Software GmbH’, sa serijskim brojem 0a8177fcd8936a91b5e0eddf995b0ba5, kao što je prikazano ispod.
Potpis AnyDesk 8.0.6 (lijevo) vs AnyDesk 8.0.8 (desno)
Izvor: BleepingComputer
Certifikati se obično ne poništavaju osim ako nisu kompromitovani, kao što su krađe u napadima ili javno izloženi.
Iako AnyDesk nije objavio kada je došlo do proboja, Born je izvijestio da je AnyDesk pretrpio četverodnevni prekid rada počevši od 29. januara, tokom kojeg je kompanija onemogućila mogućnost prijavljivanja na AnyDesk klijent.
“my.anydesk II je trenutno u fazi održavanja, za koje se očekuje da će trajati narednih 48 sati ili manje”, stoji na stranici sa statusnom porukom AnyDesk-a.
“Još uvijek možete normalno pristupiti svom nalogu i koristiti ga. Prijava na AnyDesk klijent će biti vraćena nakon završetka održavanja.”
Jučer je pristup vraćen, omogućavajući korisnicima da se prijave na svoje naloge, ali AnyDesk nije naveo razlog za održavanje u ažuriranjima statusa.
Međutim, AnyDesk je potvrdio za BleepingComputer da je ovo održavanje povezano s incidentom sajber sigurnosti.
Toplo se preporučuje da svi korisnici pređu na novu verziju softvera, jer će stari certifikat za potpisivanje koda uskoro biti opozvan.
Nadalje, dok AnyDesk kaže da lozinke nisu ukradene u napadu, hakeri su dobili pristup proizvodnim sistemima, pa se preporučuje da svi korisnici AnyDeska promijene svoje lozinke. Nadalje, ako koriste svoju AnyDesk lozinku na drugim stranicama, treba ih promijeniti i tamo.
Izvor: BleepingComputer