Uzaktan erişim programı AnyDesk, 2024’ün ilk aylarında bir siber saldırıya uğradığını ve kaynak kodunun ve özel kod imzalama anahtarlarının çalındığını duyurdu. Saldırı, milyonlarca kullanıcıyı risk altına sokuyor.
Saldırı Detayları:
2 Şubat 2024‘te, AnyDesk’in yakın zamanda bir siber saldırıya maruz kaldığı ve bilgisayar korsanlarına şirketin üretim sistemlerine erişim izni verdiği açıklandı. Saldırganlar, AnyDesk’in sistemlerine sızmayı başardı ve kaynak kodunu ve özel kod imzalama anahtarlarını ele geçirdi. Bu anahtarlar, AnyDesk’in yazılımının kimliğini doğrulamak için kullanılıyor.
İşte AnyDesk’ in Açıklamaları:
Bazı sistemlerimizde bir olayın göstergelerini takiben, bir güvenlik denetimi yaptık ve tehlikeye girmiş üretim sistemlerine dair kanıtlar bulduk. Siber güvenlik uzmanları CrowdStrike’ı içeren bir iyileştirme ve müdahale planını hemen etkinleştirdik. İyileştirme planı başarıyla sonuçlandı. İlgili makamlara tebligat edilmiştir ve onlarla yakın bir şekilde çalışıyoruz. Bu olay fidye yazılımıyla ilgili değildir.
Güvenlikle ilgili tüm sertifikaları iptal ettik ve sistemler düzeltildi veya gerektiğinde değiştirildi. İkili dosyalarımız için önceki kod imzalama sertifikasını kısa süre içinde iptal edeceğiz ve yenisiyle değiştirmeye başladık bile.
Sistemlerimiz, son kullanıcı cihazlarına bağlanmak için kullanılabilecek özel anahtarları, güvenlik belirteçlerini veya şifreleri saklamamak için tasarlanmıştır. Önlem olarak, web portalımız my.anydesk.com’un tüm şifrelerini iptal ediyoruz ve aynı kimlik bilgileri başka bir yerde kullanılıyorsa kullanıcıların şifrelerini değiştirmelerini öneriyoruz.
Bugüne kadar, herhangi bir son kullanıcı cihazının etkilendiğine dair hiçbir kanıtımız yok. Durumun kontrol altında olduğunu ve AnyDesk’i kullanmanın güvenli olduğunu doğrulayabiliriz. Lütfen yeni kod imzalama sertifikasıyla birlikte en son sürümü kullandığınızdan emin olun.
Ürünlerimize olan dürüstlük ve güven bizim için büyük önem taşıyor ve bu durumu çok ciddiye alıyoruz.
https://anydesk.com/en/public-statement
Olayla İlgili Gelişmeler:
Siber güvenlik firması, biri çevrimiçi takma adı “Jobaaaaa” ile giden ve “Exploit[.]in’de satılık önemli sayıda AnyDesk müşteri kimlik bilgisi” reklamını yapan iki tehdit aktörü bulduğunu ve “teknik destek dolandırıcılığı ve postalama (kimlik avı)” için kullanılabileceğini belirtti.
Tehdit aktörleri tarafından sağlanan örnekler, çeşitli tüketicilere ve işletmelere ait olan ve AnyDesk müşteri portalına erişim sağlayan güvenliği ihlal edilmiş erişim kimlik bilgileriyle ilgiliydi. Bir güvenlik önlemi olarak, tehdit aktörü bazı şifreleri sterilize etti. Tehdit aktörü, kripto para biriminde ödenmesi için 15.000 dolarlık 18.317 hesap teklif etti. Ayrıca Exploit’te emanet yoluyla bir anlaşma yapmayı da kabul etti. Yeniden güvenlik, potansiyel kurbanlar olarak tanımlanan kişilerin çoğuna ulaştı ve yakın zamanda veya uzun zaman önce AnyDesk ürünlerini kullandıklarını doğruladı. Tehdit aktörü herhangi bir ek bilgi paylaşmadı.
Özellikle, aktör tarafından paylaşılan ekran görüntülerinde görünen zaman damgaları, 3 Şubat 2024 tarihli başarılı yetkisiz erişimi göstermektedir (olay sonrası açıklama). Görünüşe göre, birçok müşteri hala erişim kimlik bilgilerini değiştirmemiş veya bu mekanizmanın etkilenen taraflarca hala göz ardı edildiğini gösteriyor. Büyük bir müşteri tabanına hizmet ederken uygun iyileştirme önlemlerini uygulamanın karmaşıklığı daha da önem kazanıyor ve bu tür prosedürlerin anında yürütülmesi her zaman mümkün olmayabilir. Özellikle, bu senaryo, daha önce elde edilen erişim yetkilerini kaybetme konusunda endişeli tehdit aktörleri tarafından kullanılabilir. Bu nedenle, etkili iyileştirme programları için gerekli olan uygun planlama ve tehdit modellemesi hayati önem taşımaktadır. Örneğin, Resecurity, tehdit aktörleriyle olan ek etkileşimler yoluyla, Dark Web’de listelenen açığa çıkan AnyDesk hesaplarının çoğunda 2FA’nın etkin olmadığını keşfetti.
