Взломан разработчик популярных инструментов для удаленной работы AnyDesk
Разработчик средств для удалённой работы AnyDesk Software признал кибератаку, в результате которой хакеры проникли в производственную систему. Вендор сбросил пароли и сменил сертификаты подписи кода.
«План был успешно выполнен»
Разработчик решений для удалённой работы, компания AnyDesk Software признала, что хакеры получили доступ к ее производственным системам.
«Обнаружив признаки киберинцидента в некоторых из наших систем, мы провели аудит безопасности и выявили свидетельства компрометации производственной системы», - говорится в публикации компании. – «Мы немедленно задействовали план по ремедиации с привлечением экспертов компании CrowdStrike. План был успешно выполнен. Соответствующие властные органы были уведомлены и мы активно сотрудничаем с ними. Инцидент не связан с шифровальщиками».
В компании также объявили, что отзывают все действующие сертификаты безопасности и выпустят новые в ближайшее время. Это может указывать на то, что они были скомпрометированы хакерами во время вторжения.
Компания также обнуляет все действующие пароли к своему веб-порталу, пользователям необходимо будет задать новые.
Решения AnyDesk пользуются большой популярностью: клиентская база насчитывает более 170 тыс. организаций, среди которых Comcast, Samsung, Nvidia, Siemens, LG Electronics, целый ряд университетов, городские системы и т.д.
Впрочем, нередко этим программным обеспечением (ПО) пользуются и злоумышленники, использующие его для обеспечения постоянного доступа к скомпрометированным устройствам. Доходит до того, что некоторые организации запрещают своим сотрудникам и даже клиентам использовать AnyDesk (и сходные программы). Например, в сентябре 2021 г. такой запрет выпустил Государственный банк Индии. В 2022 г. ФБР сообщило о том, что шифровальная кибергруппировка AvosLocker использовала AnyDesk в своей деятельности.
Худший сценарий обошли
По данным AnyDesk, устройства конечных пользователей атака не затронула. Тем не менее, им рекомендовано перейти на последнюю версию с новым сертификатом подписи кода.
Эксперт по информационной безопасности Гюнтер Борн (Gunter Born) сообщил, что 29 января и в последующие три дня наблюдался сбой в работе AnyDesk, так что у пользователей не было возможности войти в клиентское ПО.
AnyDesk подтвердила, что это было связано с инцидентом кибербезопасности.
Некоторые источники указывают, что хакеры могли выкрасть исходный код продуктов компании, но пока подтверждений этому нет.
«Самым неприятным сценарием в данном случае могла быть незаметная компрометация ПО AnyDesk на уровне дистрибутивов, что обеспечило бы хакерам доступ в инфраструктуру чуть ли ни всех пользователей, аналогично тому, как это было в случае SolarWinds», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, в данном случае катастрофы, кажется, удалось избежать. «К сожалению, ПО AnyDesk и без этого нередко используется хакерами во вредоносных целях - безо всяких взломов», - подытожила Анастасия Мельникова.
AnyDesk рекомендует пользователям срочно перейти на версии 7.0.15 и 8.0.8, указывая, что сброс паролей - «профилактическая мера».