AnyDesk hacked è stato l’annuncio fatto oggi, rivelando un recente attacco informatico penetrato nei sistemi produttivi dell’azienda. Questa violazione ha comportato il furto sia del codice sorgente che delle chiavi di firma del codice privato.
Famoso per consentire agli utenti di accedere ai computer in remoto attraverso reti o Internet, il software di AnyDesk è la scelta preferita non solo tra le aziende per il supporto remoto e la gestione di server co-localizzati, ma anche tra i criminali informatici che cercano un accesso persistente a dispositivi e reti compromessi.
Con una base clienti che comprende nomi importanti come 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS e le Nazioni Unite, l’azienda vanta oltre 170.000 clienti in tutto il mondo.
Come AnyDesk ha violato
Nel tardo pomeriggio di venerdì, AnyDesk ha comunicato a Computer che dorme, rivelando un primo indizio della situazione di attacco di AnyDesk attraverso attività anomale osservate sui loro server di produzione. Un’analisi completa della sicurezza, con il supporto degli specialisti di sicurezza informatica di CrowdStrike, ha convalidato la violazione dei loro sistemi, promuovendo l’implementazione di un piano di risposta dettagliato.
Sebbene AnyDesk si sia astenuto dal fornire resoconti dettagliati della compromissione dei dati, Computer che dorme ha rivelato che gli autori del reato sono fuggiti con il codice sorgente e i certificati di firma del codice. L’azienda ha inoltre spiegato che il ransomware non era una componente di questo attacco informatico, scegliendo invece di concentrarsi sulla descrizione dei propri sforzi di risposta senza approfondire le specifiche della metodologia dell’attacco informatico.
In reazione all’incidente, AnyDesk ha intrapreso misure significative per invalidare i certificati di sicurezza compromessi e ripristinare o sostituire i sistemi interessati. Dopo aver rassicurato i propri utenti sull’integrità del software, AnyDesk non ha dichiarato alcun rischio apparente per i dispositivi degli utenti finali dopo l’episodio di hacking di AnyDesk.
AnyDesk sostiene che nessun token di autenticazione è stato compromesso; tuttavia, come misura precauzionale, l’azienda revoca tutte le password del proprio portale web e consiglia agli utenti di modificare le proprie password se le stesse vengono utilizzate altrove.
“AnyDesk è progettato in modo tale che i token di autenticazione della sessione non possano essere rubati. Esistono solo sul dispositivo dell’utente finale e sono associati all’impronta digitale del dispositivo. Questi token non toccano mai i nostri sistemi. Non abbiamo alcuna indicazione di dirottamento della sessione poiché, a nostra conoscenza, ciò non è possibile”, ha detto AnyDesk Computer che dorme.
Il processo di aggiornamento ai nuovi certificati di firma del codice è già in corso, ha sottolineato Günter Born di BornCity, che ha notato l’introduzione di un nuovo certificato nella versione 8.0.8 di AnyDesk, emessa il 29 gennaio. L’aggiornamento prevede principalmente il passaggio a questo nuovo certificato di firma del codice, con l’intenzione di revocare a breve quello precedente.
Ogni dettaglio su Estensione per violazione dei dati Equifax
Le versioni precedenti del software, insieme ai vecchi eseguibili, venivano autenticate sotto “philandro Software GmbH” con il numero di serie 0dbf152deaf0b981a8a938d53f769db8. Al contrario, l’ultima versione porta la firma di “AnyDesk Software GmbH”, identificabile da un nuovo numero di serie, 0a8177fcd8936a91b5e0eddf995b0ba5, che sottolinea le misure di sicurezza in atto.
I certificati in genere rimangono validi a meno che non si verifichi una compromissione, come il furto durante attacchi informatici o esposizione accidentale. Sebbene AnyDesk non abbia specificato il momento esatto della violazione, Born ha evidenziato una significativa interruzione del servizio di quattro giorni a partire dal 29 gennaio. Durante questo periodo, AnyDesk ha disabilitato le funzionalità di accesso al cliente, suggerendo le misure immediate da adottare per mitigare l’impatto della violazione.
“my.anydesk II è attualmente in fase di manutenzione, che dovrebbe durare per le prossime 48 ore o meno. Puoi comunque accedere e utilizzare normalmente il tuo account. L’accesso al client AnyDesk verrà ripristinato una volta completata la manutenzione.” afferma il Pagina dei messaggi di stato di AnyDesk.
Ieri l’accesso alla piattaforma è stato ripristinato, consentendo agli utenti di accedere nuovamente ai propri account dopo l’incidente di AnyDesk. Sebbene inizialmente la società non abbia specificato il motivo della manutenzione negli aggiornamenti di stato, in seguito ha confermato a BleepingComputer che era direttamente correlato alla risoluzione della violazione della sicurezza informatica.
Sulla scia dell’incidente di AnyDesk, si consiglia vivamente a tutti gli utenti di passare alla nuova versione del software, soprattutto perché il vecchio certificato di firma del codice sarà presto revocato. Inoltre, nonostante le assicurazioni di AnyDesk che le password non sono state direttamente compromesse durante la violazione, l’accesso non autorizzato ai sistemi di produzione solleva notevoli problemi di sicurezza. Di conseguenza, è prudente che gli utenti AnyDesk modifichino le proprie password senza indugio e allo stesso modo aggiornino le proprie credenziali su altri siti in cui sono state utilizzate le stesse password.
Questo incidente rientra in una tendenza preoccupante di attacchi informatici contro aziende rinomate. In particolare, Cloudflare ha rivelato una violazione avvenuta il giorno del Ringraziamento, collegata alle chiavi di autenticazione rubate durante l’attacco informatico Okta dell’anno precedente. Inoltre, Microsoft ha recentemente rivelato un’intrusione da parte di hacker sponsorizzati dallo stato russo chiamati Midnight Blizzard, che avevano preso di mira anche HPE a maggio, illustrando la natura persistente e sofisticata delle minacce
Credito immagine in primo piano: James Harrison/Unsplash
