A Remote desktop szoftvereket gyártó AnyDesk bejelentette, hogy a közelmúltban kibertámadást szenvedett el, amely során a hackerek hozzáfértek a vállalat rendszereihez. A támadás során forráskódot és privát kód aláíró kulcsokat loptak el.
Az AnyDesk nem vírusírtó, hanem egy olyan távoli hozzáférési megoldás, amely lehetővé teszi a felhasználók számára, hogy távolról, hálózaton vagy interneten keresztül hozzáférjenek más számítógépekhez.
A szoftver népszerű a csalók körében is, akik feltört eszközökhöz és hálózatokhoz való hozzáférésre használják.
A vállalat 170000 ügyfélről számolt be, köztük a 7-Eleven, a Comcast, a Samsung, az MIT, az NVIDIA, a SIEMENS és az ENSZ.
Nyilatkozatában az AnyDesk azt állítja, hogy első alkalommal azután értesültek a támadásról, hogy a termelési szervereiken incidensre utaló jeleket észleltek. Egy biztonsági audit elvégzése után megállapították, hogy a rendszereik veszélybe kerültek, és a CrowdStrike kiberbiztonsági cég segítségével válaszlépési tervet aktiváltak. Az AnyDesk óvatosságból visszavonta a my.anydesk[.]com nevű webes portáljának összes jelszavát, és arra kéri a felhasználókat, hogy változtassák meg jelszavaikat, ha azokat más online szolgáltatásokban is használták. A vállalat azt megerősítette, hogy nem ransomware támadásban voltak érintettek, de ezen kívül nem osztott meg információt a támadásról.
A vállalat már megkezdte az ellopott kódaláíró tanúsítványok cseréjét, a 2024. január 29-én megjelent AnyDesk 8.0.8-as verziójában új tanúsítványt használnak. A tanúsítványokat általában nem érvénytelenítik, kivéve, ha veszélybe kerültek, például ellopták őket támadások során, vagy nyilvánosan nyilvánosságra hozták őket.
A Resecurity kiberbiztonsági cég közölte, hogy több szereplőt talált, akik közül az egyik “Jobaaaaa” online néven jelentős számú AnyDesk ügyfél hitelesítő adatait hirdeti eladásra az Exploit[.]in-en. “Jobaaaaa” szerint azokat “technikai támogatási csalásokra és levelezésre (adathalászatra)” lehet felhasználni. 18317 fiókot kínál 15000 dollárnyi kriptopénzért.
Az általa megosztott képernyőfotókon látható időbélyegek 2024. február 3-án (az incidens közzététele után) sikeres jogosulatlan hozzáférést illusztrálnak. Lehetséges, hogy nem minden ügyfél változtatta meg a hozzáférési hitelesítő adatait.
