Компания решений удалённого доступа AnyDesk подтвердила, что подверглась кибератаке, которая позволила хакерам получить доступ к производственным системам компании. Во время атаки были украдены исходный код и секретные ключи подписи кода.
AnyDesk узнала об атаке после обнаружения признаков инцидента на продакшн-серверах. При аудите безопасности выяснилось, что системы были скомпрометированы. После этого AnyDesk приняла меры с помощью компании кибербезопасности CrowdStrike.
В AnyDesk отозвали сертификаты, связанные с безопасностью, и при необходимости исправили или заменили компоненты системы. Клиентов заверили, что использование AnyDesk остаётся безопасным, а инцидент не затронул устройства конечных пользователей.
«Убедитесь, что вы используете последнюю версию с новым сертификатом подписи кода», — говорится в публичном заявлении компании.
Из соображений предосторожности AnyDesk отзывает все пароли к своему веб-порталу и предлагает сменить их, если они используются на других сайтах. Компания отмечает, что токены аутентификации сеанса в AnyDesk невозможно украсть, так как они существуют только на устройстве конечного пользователя.
BleepingComputer изучило предыдущие версии программного обеспечения и обнаружил, что старые исполняемые файлы были подписаны именем «philandro Software GmbH» и серийным номером 0dbf152deaf0b981a8a938d53f769db8. Новая версия подписана AnyDesk Software GmbH и имеет серийный номер 0a8177fcd8936a91b5e0eddf995b0ba5, как показано ниже. Сертификаты обычно не признают недействительными, если они не были скомпрометированы, например, украдены или раскрыты.
Пользователи AnyDesk наблюдали сбой в работе сервиса в течение четырёх дней, начиная с 29 января. Компания подтвердила, что меры технического обслуживания приняли в ответ на инцидент.
Ранее издание Recorded Future представило отчёт, который утверждает, что платформа GitHub становится всё более популярным инструментом для хакеров. Её используют для размещения и распространения вредоносов. Тактика «Living Off Trusted Sites» (LOTS) позволяет хакерам маскировать свои действия под легитимный сетевой трафик, что затрудняет отслеживание и идентификацию злоумышленников.
Code:
https://anydesk.com/en/public-statement
https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/
https://habr.com/ru/news/791232/
05-08-2025, 03:00 PM
Linear Mode
