Uzak masaüstü yazılım sağlayıcısı AnyDesk Cuma günü geç saatlerde, bir siber saldırının bilgisayar korsanlarının şirketin üretim sistemlerine erişmesine olanak sağladığını ve şirketi neredeyse bir hafta boyunca karantinaya aldığını doğruladı.
AnyDesk’in yazılımı, milyonlarca BT uzmanı tarafından, teknik sorunlara yardımcı olmak amacıyla müşterilerinin cihazlarına hızlı ve uzaktan bağlanmak için kullanılıyor. Açık web sitesiAnyDesk, aralarında Comcast, LG, Samsung ve Thales’in de bulunduğu 170.000’den fazla müşteriye sahip olduğunu iddia ediyor.
Yazılım aynı zamanda, yazılımı uzun süredir kurbanın bilgisayarına ve verilerine erişim sağlamak ve bu erişimi sürdürmek için kullanan tehdit aktörleri ve fidye yazılımı çeteleri arasında da popüler bir araçtır. ABD siber güvenlik kurumu CISA, Ocak ayında bilgisayar korsanlarının AnyDesk de dahil olmak üzere meşru uzak masaüstü yazılımını kullanarak federal kurumların güvenliğini ihlal ettiğini söyledi.
Şüpheli ihlale ilişkin haberler geçen Pazartesi günü AnyDesk’in duyurusuyla yayılmaya başladı. kod imzalama sertifikalarını değiştirmiştiŞirketlerin bilgisayar korsanlarının kodlarını değiştirmesini önlemek için kullandıkları. Günlerce süren kesintinin ardından AnyDesk bir açıklamada doğrulandı Cuma günü geç saatlerde şirketin “üretim sistemlerinin güvenliği ihlal edildiğine dair kanıtlar bulduğunu” duyurdu.
AnyDesk, olaya müdahale kapsamında şirketin güvenlikle ilgili tüm sertifikaları iptal ettiğini, gerektiğinde sistemleri iyileştirdiğini veya değiştirdiğini ve AnyDesk’in müşteri web portalındaki tüm şifreleri geçersiz kıldığını söyledi.
Şirket Cuma günü yaptığı açıklamada, “İkili dosyalarımız için önceki kod imzalama sertifikasını kısa süre içinde iptal edeceğiz ve onu yenisiyle değiştirmeye başladık” diye ekledi.
AnyDesk, olayın fidye yazılımıyla ilgili olmadığını söyledi ancak siber saldırının spesifik yapısını açıklamadı.
AnyDesk sözcüsü Matthew Caldwell, TechCrunch’tan gelen bir e-postaya yanıt vermedi. Siber saldırıyı düzeltmek için AnyDesk ile birlikte çalışan CrowdStrike, Pazartesi gününe gelindiğinde TechCrunch’ın sorularını yanıtlamayı reddetti.
AnyDesk, herhangi bir müşteri verisine erişilip erişilmediğini soran sorulara yanıt vermedi ancak şirket, açıklamasında “herhangi bir son kullanıcı sisteminin etkilendiğine dair hiçbir kanıt bulunmadığını” söyledi.
AnyDesk, “Durumun kontrol altında olduğunu ve AnyDesk’i kullanmanın güvenli olduğunu doğrulayabiliriz” dedi. “Lütfen yeni kod imzalama sertifikasına sahip en son sürümü kullandığınızdan emin olun”.
AnyDesk, şimdiye kadar siber saldırıyı yönetme biçimi nedeniyle zaten eleştirilerle karşı karşıya kalmıştı. Gibi İlk olarak Alman blog yazarı Günter Born tarafından rapor edildiAnyDesk başlangıçta iddia edildi 29 Ocak’ta başlayan ve şirketin kullanıcıların oturum açmasını engellediği dört günlük kesintinin nedeni “bakım”dı. Deneyimli bir olay müdahale görevlisi olan Jake Williams, AnyDesk’i şu şekilde suçladı: X’te bir yazı Hafta sonundan hemen önce siber saldırıyı müşterilere açıklayarak bir “PR hamlesi” yapmak.
Güvenlik araştırmacıları, bilgisayar korsanlarının, bilinen siber suç forumlarındaki ihlalden etkilendiği iddia edilen AnyDesk hesaplarına erişim sattığını söylüyor; ancak aynı zamanda çalınan hesap ayrıntılarının, muhtemelen bir kullanıcının bilgisayarındaki parola çalan kötü amaçlı yazılımları içeren daha önceki kötü amaçlı yazılım bulaşmalarından kaynaklandığını da belirtiyor.
Bu olayla ilgili başka bilginiz var mı? +441536 853968 numaralı telefondan Signal üzerinden veya e-posta yoluyla Carly Page ile güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.