Merhaba
Uzak masaüstü yazılım üreticisi AnyDesk, Cuma günü üretim sistemlerinin tehlikeye girmesine yol açan bir siber saldırıya uğradığını açıkladı.
Alman şirket, bir güvenlik denetiminin ardından fark ettiği olayın bir fidye yazılımı saldırısı olmadığını ve ilgili makamları bilgilendirdiğini söyledi.
Şirketten yapılan açıklamada,
“Bazı sistemlerimizde bir olay yaşandığına dair belirtilerin ardından bir güvenlik denetimi gerçekleştirdik ve üretim sistemlerinin tehlikeye atıldığına dair kanıtlar bulduk. Hemen siber güvenlik uzmanları CrowdStrike’ın da dahil olduğu bir iyileştirme ve müdahale planını devreye soktuk. İyileştirme planı başarıyla sonuçlandı. İlgili makamlar bilgilendirildi ve onlarla yakın bir şekilde çalışıyoruz. Bu olay fidye yazılımıyla ilgili değildir.
Güvenlikle ilgili tüm sertifikaları iptal ettik ve sistemler düzeltildi veya gerektiğinde değiştirildi. İkili dosyalarımız için önceki kod imzalama sertifikasını kısa süre içinde iptal edeceğiz ve yenisiyle değiştirmeye başladık bile.
Sistemlerimiz, son kullanıcı cihazlarına bağlanmak için kullanılabilecek özel anahtarları, güvenlik belirteçlerini veya parolaları saklamayacak şekilde tasarlanmıştır. Önlem olarak, my.anydesk.com web portalımızdaki tüm şifreleri iptal ediyoruz ve aynı kimlik bilgilerinin başka bir yerde kullanılması durumunda kullanıcıların şifrelerini değiştirmelerini öneriyoruz.
Bugüne kadar, herhangi bir son kullanıcı cihazının etkilendiğine dair bir kanıtımız yok. Durumun kontrol altında olduğunu ve AnyDesk’i kullanmanın güvenli olduğunu doğrulayabiliriz. Lütfen yeni kod imzalama sertifikasına sahip en son sürümü kullandığınızdan emin olun.
Ürünlerimizdeki bütünlük ve güven bizim için büyük önem taşıyor ve bu durumu çok ciddiye alıyoruz.”
AnyDesk, tedbiri elden bırakmayarak my.anydesk.com adresindeki web portalının tüm şifrelerini de iptal etti ve aynı şifreler başka çevrimiçi hizmetlerde kullanılmışsa kullanıcılardan şifrelerini değiştirmelerini istedi.
Ayrıca kullanıcılara, yeni bir kod imzalama sertifikasıyla birlikte gelen yazılımın en son sürümünü indirmelerini öneriyor. AnyDesk, üretim sistemlerinin ne zaman ve nasıl ihlal edildiğini açıklamadı.Saldırının ardından herhangi bir bilginin çalınıp çalınmadığı şu anda bilinmiyor. Bununla birlikte, herhangi bir son kullanıcı sisteminin etkilendiğine dair bir kanıt bulunmadığı vurgulandı.
Bu haftanın başlarında BornCity’den Günter Born, AnyDesk’in 29 Ocak’tan bu yana bakım altında olduğunu açıklamıştı. Sorun 1 Şubat’ta ele alındı. Daha önce, 24 Ocak’ta şirket, kullanıcıları Müşteri Portalı ile “aralıklı zaman aşımları” ve “hizmet bozulması” konusunda da uyarmıştı.
AnyDesk, aralarında Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam ve Thales’in de bulunduğu 170.000’den fazla müşteriye sahip.
Bu açıklama, Cloudflare’in Atlassian sunucusuna yetkisiz erişim sağlamak ve nihayetinde bazı belgelere ve sınırlı miktarda kaynak koduna erişmek için çalınan kimlik bilgilerini kullanan şüpheli bir ulus devlet saldırganı tarafından ihlal edildiğini açıklamasından bir gün sonra geldi.
Siber güvenlik firması Resecurity, biri çevrimiçi takma adı “Jobaaaaa” olan iki tehdit aktörünün “Exploit[.]in’de satılık önemli sayıda AnyDesk müşteri kimlik bilgilerinin” reklamını yaptığını tespit ettiğini belirterek, bunun “teknik destek dolandırıcılığı ve posta gönderme (kimlik avı)” için kullanılabileceğini belirtti.
Tehdit aktörünün 15.000 $ kripto para karşılığında 18.317 hesap teklif ettiği tespit edildi. Şirket, “Özellikle, aktör tarafından paylaşılan ekran görüntülerinde görünen zaman damgaları, 3 Şubat 2024 tarihli (olay sonrası açıklama) başarılı yetkisiz erişimi göstermektedir” dedi. “Tüm müşterilerin erişim kimlik bilgilerini değiştirmemiş olması ya da bu mekanizmanın etkilenen taraflarca hala devam ediyor olması mümkündür.”
Kimlik bilgilerinin nasıl elde edildiği net değil, ancak Resecurity siber suçluların şifrelerin sıfırlanabileceği gerçeği ışığında mevcut müşteri kimlik bilgilerinden para kazanmak için acele ediyor olabileceğini söyledi.
Başka bir yazımızda görüşmek dileğiyle…
