Спецпроекты

Безопасность Техника

Взломан разработчик популярных инструментов для удаленной работы AnyDesk

Разработчик средств для удалённой работы AnyDesk Software признал кибератаку, в результате которой хакеры проникли в производственную систему. Вендор сбросил пароли и сменил сертификаты подписи кода.

«План был успешно выполнен»

Разработчик решений для удалённой работы, компания AnyDesk Software признала, что хакеры получили доступ к ее производственным системам.

«Обнаружив признаки киберинцидента в некоторых из наших систем, мы провели аудит безопасности и выявили свидетельства компрометации производственной системы», - говорится в публикации компании. – «Мы немедленно задействовали план по ремедиации с привлечением экспертов компании CrowdStrike. План был успешно выполнен. Соответствующие властные органы были уведомлены и мы активно сотрудничаем с ними. Инцидент не связан с шифровальщиками».

В компании также объявили, что отзывают все действующие сертификаты безопасности и выпустят новые в ближайшее время. Это может указывать на то, что они были скомпрометированы хакерами во время вторжения.

Сервера AnyDesk подверглись кибератаке. Худший сценарий исключен

Компания также обнуляет все действующие пароли к своему веб-порталу, пользователям необходимо будет задать новые.

Решения AnyDesk пользуются большой популярностью: клиентская база насчитывает более 170 тыс. организаций, среди которых Comcast, Samsung, Nvidia, Siemens, LG Electronics, целый ряд университетов, городские системы и т.д.

Впрочем, нередко этим программным обеспечением (ПО) пользуются и злоумышленники, использующие его для обеспечения постоянного доступа к скомпрометированным устройствам. Доходит до того, что некоторые организации запрещают своим сотрудникам и даже клиентам использовать AnyDesk (и сходные программы). Например, в сентябре 2021 г. такой запрет выпустил Государственный банк Индии. В 2022 г. ФБР сообщило о том, что шифровальная кибергруппировка AvosLocker использовала AnyDesk в своей деятельности.

Худший сценарий обошли

По данным AnyDesk, устройства конечных пользователей атака не затронула. Тем не менее, им рекомендовано перейти на последнюю версию с новым сертификатом подписи кода.

Эксперт по информационной безопасности Гюнтер Борн (Gunter Born) сообщил, что 29 января и в последующие три дня наблюдался сбой в работе AnyDesk, так что у пользователей не было возможности войти в клиентское ПО.

AnyDesk подтвердила, что это было связано с инцидентом кибербезопасности.

Некоторые источники указывают, что хакеры могли выкрасть исходный код продуктов компании, но пока подтверждений этому нет.

«Самым неприятным сценарием в данном случае могла быть незаметная компрометация ПО AnyDesk на уровне дистрибутивов, что обеспечило бы хакерам доступ в инфраструктуру чуть ли ни всех пользователей, аналогично тому, как это было в случае SolarWinds», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, в данном случае катастрофы, кажется, удалось избежать. «К сожалению, ПО AnyDesk и без этого нередко используется хакерами во вредоносных целях - безо всяких взломов», - подытожила Анастасия Мельникова.

AnyDesk рекомендует пользователям срочно перейти на версии 7.0.15 и 8.0.8, указывая, что сброс паролей - «профилактическая мера».

Роман Георгиев

Короткая ссылка