AnyDesk сообщила о взломе серверов и сбросе паролей пользователей

AnyDesk узнала об атаке после обнаружения признаков инцидента на продакшн-серверах. При аудите безопасности выяснилось, что системы были скомпрометированы. После этого AnyDesk приняла меры с помощью компании кибербезопасности CrowdStrike.

В AnyDesk отозвали сертификаты, связанные с безопасностью, и при необходимости исправили или заменили компоненты системы. Клиентов заверили, что использование AnyDesk остаётся безопасным, а инцидент не затронул устройства конечных пользователей.

«Убедитесь, что вы используете последнюю версию с новым сертификатом подписи кода», — говорится в публичном заявлении компании.

Из соображений предосторожности AnyDesk отзывает все пароли к своему веб-порталу и предлагает сменить их, если они используются на других сайтах. Компания отмечает, что токены аутентификации сеанса в AnyDesk невозможно украсть, так как они существуют только на устройстве конечного пользователя.

BleepingComputer изучило предыдущие версии программного обеспечения и обнаружил, что старые исполняемые файлы были подписаны именем «philandro Software GmbH» и серийным номером 0dbf152deaf0b981a8a938d53f769db8. Новая версия подписана AnyDesk Software GmbH и имеет серийный номер 0a8177fcd8936a91b5e0eddf995b0ba5, как показано ниже. Сертификаты обычно не признают недействительными, если они не были скомпрометированы, например, украдены или раскрыты.

Пользователи AnyDesk наблюдали сбой в работе сервиса в течение четырёх дней, начиная с 29 января. Компания подтвердила, что меры технического обслуживания приняли в ответ на инцидент.

Ранее издание Recorded Future представило отчёт, который утверждает, что платформа GitHub становится всё более популярным инструментом для хакеров. Её используют для размещения и распространения вредоносов. Тактика «Living Off Trusted Sites» (LOTS) позволяет хакерам маскировать свои действия под легитимный сетевой трафик, что затрудняет отслеживание и идентификацию злоумышленников.