Cyberatak na AnyDesk
AnyDesk potwierdził cyberatak na swoją infrastrukturę, wskutek którego naruszone zostały systemy produkcyjne, wszystkie certyfikaty zostały unieważnione, w ramach ostrożności unieważniono wszystkie hasła do portalu my.anydesk. AnyDesk zapewnia, że sytuacja jest w pełni pod kontrolą i korzystanie z aplikacji jest bezpieczne, zalecane jest korzystanie z najnowszej wersji z nowym certyfikatem użytym do podpisania kodu.
Ilość hostów AnyDesk 03.02.2024
Informacje o naruszeniu AnyDesk pojawiły się dzień po tym, jak Cloudflare opublikował informacje o swoim incydencie bezpieczeństwa z 23 listopada 2023. Atak rozpoczął się już 18 października po włamaniu do systemów Okty, wskutek czego cyberprzestępcy uzyskali dostęp do danych uwierzytelniających. 14 listopada cyberprzestępcy rozpoczęli rekonesans systemów Cloudflare, szukając sposobów wykorzystania pozyskanych poświadczeń, podjęta była bezskuteczna próba zalogowania do konta Okta i panelu Cloudflare. 15 listopada atakujący uzyskali dostęp do Atlassian Jira i Confluence przy użyciu tokena usługi Moveworks, następnie użyte zostało konto usługi Smartsheet, w celu uzyskania dostępu do pakietu Atlassian. Następnego dnia atakujący poszukiwali informacji na temat konfiguracji i zarządzania globalną siecią oraz uzyskali dostęp do różnych zgłoszeń Jira. Cyberprzestępcy przeszukiwali wiki pod kątem takich elementów, jak zdalny dostęp, hasła, hasła klienta, openconnect, cloudflared i token. Uzyskali dostęp do 36 zgłoszeń Jira (z łącznej liczby 2 059 357 zgłoszeń) i 202 stron wiki (z łącznej liczby 194 100 stron). 16 listopada przy użyciu danych uwierzytelniających Smartsheet, utworozne zostało konto Atlassian, dodane do kilku grup. Ciągły dostęp do serwera C2 Atlassian umożliwła wtyczka ScriptRunner for Jira. 23 listopada zespół ds. bezpieczeństwa Cloudflare został powiadomiony o obecności hakerów o godzinie 16:00 i 35 minut później dezaktywowano konto usługi Smartsheet. 48 minut później konto użytkownika utworzone przez cyberprzestępców zostaje odnalezione i dezaktywowane. 24 listopada wszystkie dostępy uzyskane przez hakerów zostają zablokowane. Firma Cloudflare potwierdza tym samym, że grupie cyberprzestępczej nie udało się uzyskać żadnych dostępów do systemów, globalnej sieci, centrów danych, kluczy SSL, baz danych, konfiguracji systemów klientów Cloudflare.
Główna infrastruktura grupy cyberprzestępczej
Serwer kontroli i dowodzenia
