Das beliebte Unternehmen für Fernüberwachungs- und -verwaltungssoftware AnyDesk war Opfer eines Cyberangriffs, der seine Produktionssysteme kompromittiert und Quellcode sowie Codesignaturzertifikate geleakt hat.
Der Entwickler der Fernzugriffssoftware hatte von dem Cyberangriff erfahren, nachdem er ab Mitte Januar „ Hinweise auf einen Vorfall “ auf seinen Systemen festgestellt hatte.
Das Unternehmen aktivierte mit dem Cybersicherheitsunternehmen CrowdStrike einen Sanierungs- und Vorfallreaktionsplan und benachrichtigte die zuständigen Behörden. Eine anschließende Untersuchung ergab , dass die verdächtigen Aktivitäten im Dezember 2023 begannen.
Auch AnyDesk erlitt ab dem 29. Januar 2024 einen viertägigen Ausfall, der die Anmeldung des AnyDesk-Clients verhinderte und mit dem Cyber-Vorfall in Zusammenhang stand.
AnyDesk widerruft Code Signing-Zertifikate nach einem Cyberangriff
Um die Auswirkungen des Cyberangriffs einzudämmen, reagierte AnyDesk mit dem Widerruf aller Code Signing-Zertifikate.
Code Signing-Zertifikate bestätigen, dass die Software von einem geprüften Herausgeber stammt und die Binärdateien nach der Anwendung des Zertifikats nicht geändert wurden.
„Wir haben alle sicherheitsrelevanten Zertifikate widerrufen und die Systeme wurden, wo nötig, saniert oder ersetzt. Wir werden das bisherige Code-Signing-Zertifikat für unsere Binärdateien in Kürze widerrufen und haben bereits damit begonnen, es durch ein neues zu ersetzen“, sagte AnyDesk.
Bisher liegen AnyDesk keine Beweise dafür vor, dass die Bedrohungsakteure während des Cyberangriffs Kundendaten oder -geräte kompromittiert oder Ransomware eingesetzt haben.
„Unsere Systeme sind so konzipiert, dass sie keine privaten Schlüssel, Sicherheitstoken oder Passwörter speichern, die ausgenutzt werden könnten, um eine Verbindung zu Endbenutzergeräten herzustellen“, erklärte AnyDesk.
Anschließend widerrief das Unternehmen vorsorglich die Passwörter für das Webportal und riet den Benutzern, „ihre Passwörter zu ändern, wenn dieselben Anmeldeinformationen anderswo verwendet werden“.
Dennoch versichert AnyDesk Software seinen Kunden, dass die Situation unter Kontrolle sei und der Cyberangriff die Integrität der Software nicht beeinträchtigt habe.
„Bis heute haben wir keine Hinweise darauf, dass Endgeräte betroffen sind. Wir können bestätigen, dass die Situation unter Kontrolle ist und die Nutzung von AnyDesk sicher ist“, berichtete AnyDesk.
AnyDesk Software empfiehlt seinen Kunden, „die neueste Version mit dem neuen Codesignaturzertifikat“ zu verwenden. Seit AnyDesk Client 8.0.8, veröffentlicht am 29. Januar 2024, werden in den neuen Versionen die neuen Codesignaturzertifikate verwendet, während die alten noch nicht widerrufen wurden.
Ebenso riet das Unternehmen für Fernzugriffssoftware seinen Kunden davon ab, Software oder Updates von ungesicherten Drittanbietern herunterzuladen.
Das Unternehmen hat jedoch die Befürchtungen zerstreut, dass es aufgrund der durchgesickerten Code-Signing-Zertifikate zu Angriffen auf die Lieferkette kommen könnte. Bisher sei „keine kompromittierte Software verbreitet worden oder wird es auch weiterhin nicht“, erklärte das Unternehmen.
Matt Sparrow, Senior Intelligence Operations Analyst bei Centripetal , prognostizierte, dass der Cyberangriff definitiv „sehr schwerwiegende Konsequenzen für viele Organisationen weltweit haben“ werde.
Sparrow merkte jedoch an, dass die schnelle Erkennung und Sperrung von Code Signing-Zertifikaten durch AnyDesk „das ist, worauf ein vorbereitetes Sicherheitsteam vorbereitet sein sollte“ und „genau die Art von Aktion“ sei, die die Auswirkungen auf die Benutzer begrenzt.
AnyDesk-Anmeldeinformationen im Dark Web zum Verkauf angeboten
Das Cybersicherheits- und Bedrohungsinformationsunternehmen Resecurity hat nach dem Cyberangriff 18.000 Kundenanmeldeinformationen von AnyDesk entdeckt , die auf dem beliebten Hackerforum Exploit[.]in zum Verkauf angeboten wurden.
AnyDesk hat zwar zugegeben, davon erfahren zu haben, dass seine Benutzerdaten im Darknet kursierten, bestreitet jedoch, dass das Leck auf den Cyberangriff zurückzuführen sei.
„Uns ist aufgefallen, dass im Darknet Anmeldeinformationen für AnyDesk-Kundenkonten kursieren. Diese Anmeldeinformationen wurden nicht aus AnyDesks-Systemen exfiltriert und stehen in keinem Zusammenhang mit dem Vorfall“, erklärte AnyDesks.
AnyDesk, Resecurity, SOS Intelligence und Hudson Rock sind sich alle einig, dass die durchgesickerten Anmeldeinformationen durch Infektionen mit Stealer-Malware auf den Geräten der Endbenutzer abgegriffen wurden.
Bei Missbrauch könnten die gestohlenen Anmeldeinformationen es Angreifern ermöglichen, an die Verbindungsinformationen und persönlichen Daten der Kunden zu gelangen. Diese Informationen sind für Cyberangriffe und gezieltes Phishing von unschätzbarem Wert.
In Bezug auf die Verwendung der durchgesickerten Anmeldeinformationen erklärte AnyDesks, dass es die theoretische Möglichkeit „für einen kurzen Zeitraum nicht ausschließen“ könne.
Der enorme erforderliche Aufwand und der knappe Zeitrahmen machen diese Möglichkeit jedoch höchst unwahrscheinlich Miracast.
„… Angreifer hätten den sehr umfangreichen Code unserer Software in der sehr kurzen verfügbaren Zeit neu schreiben müssen, Benutzer dazu verleiten müssen, eine gefälschte Version unserer Software zu verwenden und sie dann ihr Passwort eingeben lassen. Das erscheint unwahrscheinlich, aber nicht unmöglich“, sagte AnyDesks.
Die durchgesickerten Anmeldeinformationen wurden außerdem ungültig, nachdem AnyDesks eine Kennwortzurücksetzung auf „my.anydesk.com“ erzwungen hatte.
Zusätzlich zu den von AnyDesks empfohlenen Sicherheitsmaßnahmen empfiehlt Resecurity den Benutzern, die Whitelist-Funktion zu verwenden, um nur vertrauenswürdige Geräte zuzulassen, die Multi-Faktor-Authentifizierung zu aktivieren und Konten auf verdächtige Aktivitäten zu überwachen.