با حمله هکرها به AnyDesk تکلیف کاربران چه می شود؟

انی دسک می گوید هکرها به سرورهای تولیدی آن نفوذ کرده و رمزهای عبور را بازنشانی کرده اند. AnyDesk تایید کرد که متحمل یک حمله سایبری اخیر شده است که به هکرها اجازه دسترسی به سیستم های تولیدی این شرکت را می دهد. طبق دریافت های BleepingComputer کد منبع و کلیدهای امضای کد خصوصی در طول حمله به سرقت رفته است.

مطالعه محکومیت هکر ۱۸ ساله GTA6 به حبس در بیمارستان روانی!

درباره شرکت AnyDesk

AnyDesk یک راه حل دسترسی از راه دور است که به کاربران اجازه می دهد از راه دور به رایانه ها از طریق شبکه یا اینترنت دسترسی داشته باشند. این برنامه در بین شرکت ها بسیار محبوب است که از آن برای پشتیبانی از راه دور یا دسترسی به سرورهای colocated استفاده می کنند.
این نرم افزار همچنین در میان عوامل تهدید که از آن برای دسترسی مداوم به دستگاه ها و شبکه های نفوذ شده استفاده می کنند، بسیار محبوب است.
این شرکت گزارش می دهد که 170000 مشتری معتبر از جمله 7-Eleven، Comcast، Samsung، MIT، NVIDIA، SIEMENS و سازمان ملل متحد دارد.

AnyDesk هک شد

در بیانیه‌ای که اواخر بعد از ظهر جمعه با BleepingComputer به اشتراک گذاشته شد، AnyDesk می‌گوید که اولین بار پس از شناسایی نشانه‌هایی از یک حادثه در سرورهای تولیدی خود، از این حمله مطلع شدند. پس از انجام ممیزی امنیتی، آن ها متوجه شدند که امنیت سیستم‌هایشان به خطر افتاده است و با کمک شرکت امنیت سایبری CrowdStrike، یک طرح واکنش را برای مقابله با این حمله فعال کردند.
AnyDesk جزئیات مربوط به سرقت داده ها در طول حمله را به اشتراک نمی گذارد. با این حال، BleepingComputer دریافته است که عوامل تهدید کد منبع و گواهی امضای کد را به سرقت برده اند. این شرکت همچنین تایید کرد که باج‌افزار، دخیل نبوده است، اما اطلاعات زیادی در مورد این حمله به اشتراک نمی‌گذارد، جز این که می‌گوید سرورهای آن‌ها نقض شده است.

پاسخ AnyDesk درباره حمله هکرها

AnyDesk به عنوان بخشی از پاسخ خود، می گوید که آن ها گواهی های مربوط به امنیت را باطل کرده اند و در صورت لزوم سیستم ها را اصلاح یا جایگزین کرده اند. آن ها همچنین به مشتریان اطمینان دادند که استفاده از AnyDesk ایمن است و هیچ مدرکی دال بر این که دستگاه های کاربران نهایی تحت تأثیر این حادثه قرار گرفته باشند وجود ندارد.
AnyDesk در بیانیه ای عمومی گفت:«ما می توانیم تأیید کنیم که وضعیت تحت کنترل است و استفاده از AnyDesk ایمن است. لطفاً مطمئن شوید که از آخرین نسخه با گواهی امضای کد جدید استفاده می کنید.»

در حالی که این شرکت می‌گوید که هیچ کد احراز هویت به سرقت نرفت، اما از روی احتیاط، AnyDesk در حال لغو تمام رمزهای عبور در پورتال وب خود است و پیشنهاد می‌کند در صورت استفاده از آن در سایت‌های دیگر، رمز عبور را تغییر دهید.
AnyDesk در پاسخ به سؤالاتی در مورد حمله به BleepingComputer گفت:« AnyDesk به گونه ای طراحی شده است که توکن های احراز هویت جلسه را نمی توان به سرقت برد. آن ها فقط در دستگاه کاربر نهایی وجود دارند و با اثر انگشت دستگاه مرتبط هستند. این توکن ها هرگز سیستم های ما را لمس نمی کنند. ما هیچ نشانه‌ای مبنی بر ربودن جلسه نداریم زیرا بر اساس اطلاعات ما این امکان پذیر نیست.»
این شرکت قبلاً جایگزینی گواهینامه‌های امضای کد دزدیده شده را آغاز کرده است، با Günter Born of BornCity ابتدا گزارش داد که آنها از یک گواهی جدید در AnyDesk نسخه 8.0.8 استفاده می‌کنند که در 29 ژانویه منتشر شد. تنها تغییر فهرست شده در نسخه جدید این است که شرکت به گواهی امضای کد جدید تغییر مکان داده و به زودی گواهی قبلی را لغو خواهد کرد.
BleepingComputer نسخه‌های قبلی نرم‌افزار را بررسی کرد و فایل‌های اجرایی قدیمی‌تر با نام «philandro Software GmbH» با شماره سریال 0dbf152deaf0b981a8a938d53f769db8 امضا شدند. همانطور که در زیر نشان داده شده است، نسخه جدید اکنون تحت «AnyDesk Software GmbH» با شماره سریال 0a8177fcd8936a91b5e0eddf995b0ba5 امضا شده است.

Signed AnyDesk 8.0.6 (سمت چپ) در مقابل AnyDesk 8.0.8 (راست)

گواهی‌ها معمولاً باطل نمی‌شوند مگر این که به خطر افتاده باشند، مانند سرقت در حملات یا افشای عمومی. در حالی که AnyDesk هنگام وقوع نقض به اشتراک گذاشته نشده بود، Born گزارش داد که AnyDesk از 29 ژانویه با یک قطعی چهار روزه مواجه شد، که طی آن شرکت توانایی ورود به سرویس گیرنده AnyDesk را غیرفعال کرد.
در صفحه پیام وضعیت AnyDesk آمده است:« my.anydesk II در حال حاضر تحت تعمیر و نگهداری است که انتظار می رود تا 48 ساعت آینده یا کمتر ادامه یابد. هنوز می توانید به طور عادی به حساب خود دسترسی داشته باشید و از آن استفاده کنید. ورود به سرویس گیرنده AnyDesk پس از اتمام تعمیر بازیابی می شود.»
دیروز دسترسی، بازیابی شد و به کاربران اجازه می داد به حساب های خود وارد شوند، اما AnyDesk هیچ دلیلی برای نگهداری در به روز رسانی وضعیت ارائه نکرد.
با این حال، AnyDesk به BleepingComputer تایید کرده است که این تعمیر و نگهداری مربوط به حادثه امنیت سایبری است.

توصیه به کاربران AnyDesk

اکیداً توصیه می‌شود که همه کاربران به نسخه جدید نرم‌افزار مراجعه کنند، زیرا گواهی امضای کد قدیمی به زودی لغو خواهد شد.
علاوه بر این، در حالی که AnyDesk می گوید که رمزهای عبور در این حمله به سرقت نرفتند، عوامل تهدید به سیستم های تولیدی دسترسی پیدا کردند، بنابراین اکیداً توصیه می شود که همه کاربران AnyDesk رمز عبور خود را تغییر دهند. علاوه بر این، اگر آنها از رمز عبور AnyDesk خود در سایت های دیگر استفاده می کنند، باید در آنجا نیز رمز را تغییر دهند. هر هفته، به نظر می رسد که از یک نقض جدید علیه شرکت های معروف مطلع می شویم.
شب گذشته، Cloudflare فاش کرد که آنها در روز شکرگزاری با استفاده از کلیدهای احراز هویت به سرقت رفته در سال های گذشته در حمله سایبری Okta هک شده اند. هفته گذشته، مایکروسافت همچنین فاش کرد که آنها توسط هکرهای دولتی روسیه به نام Midnight Blizzard هک شده اند که در ماه می به HPE نیز حمله کردند.