Ngày 2 tháng 2, AnyDesk xác nhận họ đã hứng chịu một cuộc tấn công mạng gần đây cho phép tin tặc truy cập vào hệ thống sản xuất của công ty. BleepingComputer đã biết rằng mã nguồn và khóa ký mã riêng đã bị đánh cắp trong cuộc tấn công.
AnyDesk là giải pháp truy cập từ xa cho phép người dùng truy cập máy tính từ xa qua mạng hoặc internet. Chương trình này rất phổ biến với các doanh nghiệp sử dụng nó để hỗ trợ từ xa hoặc truy cập vào các máy chủ được đặt cùng vị trí.
Phần mềm này cũng phổ biến đối với những kẻ đe dọa sử dụng nó để truy cập liên tục vào các thiết bị và mạng bị vi phạm.
AnyDesk báo cáo có 170.000 khách hàng, bao gồm 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS và Liên Hợp Quốc.
AnyDesk đã bị hack
Trong một thông tin được chia sẻ với BleepingComputer vào chiều thứ Sáu, ngày 2 tháng 2, AnyDesk cho biết lần đầu tiên họ biết về cuộc tấn công sau khi phát hiện dấu hiệu về sự cố trên máy chủ sản phẩm của họ.
Sau khi tiến hành kiểm tra bảo mật, họ xác định hệ thống của mình đã bị xâm phạm và kích hoạt kế hoạch ứng phó với sự trợ giúp của công ty an ninh mạng CrowdStrike.
AnyDesk không chia sẻ thông tin chi tiết về việc liệu dữ liệu có bị đánh cắp trong cuộc tấn công hay không. Tuy nhiên, BleepingComputer đã phát hiện ra rằng kẻ đe dọa đã đánh cắp mã nguồn và chứng nhận số (code signing certificates).
AnyDesk cũng xác nhận rằng cuộc tấn công không liên quan đến ransomware nhưng không chia sẻ quá nhiều thông tin về cuộc tấn công ngoài việc nói rằng máy chủ của họ đã bị xâm phạm, với lời khuyên chủ yếu tập trung vào cách họ phản ứng với cuộc tấn công.
AnyDesk cho biết thêm đã thu hồi các chứng chỉ liên quan đến bảo mật và khắc phục hoặc thay thế các hệ thống nếu cần thiết. AnyDesk cũng trấn an khách hàng rằng AnyDesk an toàn khi sử dụng và không có bằng chứng nào cho thấy thiết bị của người dùng cuối bị ảnh hưởng bởi sự cố.
AnyDesk cho biết trong một tuyên bố công khai: “Chúng tôi có thể xác nhận rằng tình hình đã được kiểm soát và việc sử dụng AnyDesk là an toàn. Hãy đảm bảo rằng bạn đang sử dụng phiên bản mới nhất với chứng chỉ ký mã mới”.
Mặc dù AnyDesk nói rằng không có mã thông báo xác thực nào bị đánh cắp nhưng để thận trọng, AnyDesk đang thu hồi tất cả mật khẩu đối với cổng web của họ và đề xuất thay đổi mật khẩu nếu nó được sử dụng trên các trang web khác.
“AnyDesk được thiết kế theo cách mà mã thông báo xác thực phiên không thể bị đánh cắp. Chúng chỉ tồn tại trên thiết bị của người dùng cuối và được liên kết với dấu vân tay của thiết bị. Những mã thông báo này không bao giờ vào được hệ thống của chúng tôi”, AnyDesk nói với BleepingComputer khi trả lời câu hỏi của chúng tôi về cuộc tấn công .
“Chúng tôi không có dấu hiệu nào về việc chiếm quyền điều khiển phiên vì theo hiểu biết của chúng tôi thì điều này là không thể xảy ra.”
AnyDesk đã bắt đầu thay thế các chứng chỉ ký mã bị đánh cắp, với báo cáo đầu tiên của Günter Born of BornCity rằng họ đang sử dụng chứng chỉ mới trong AnyDesk phiên bản 8.0.8, được phát hành vào ngày 29 tháng 1. Thay đổi duy nhất được liệt kê trong phiên bản mới là công ty đã chuyển sang chứng nhận số (code signing certificates) mới và sẽ sớm thu hồi chứng chỉ cũ.
BleepingComputer đã xem xét các phiên bản trước của phần mềm và các tệp thực thi cũ hơn đã được ký dưới tên ‘philandro Software GmbH’ với số sê-ri 0dbf152deaf0b981a8a938d53f769db8. Phiên bản mới hiện được ký tên là ‘AnyDesk Software GmbH’, với số sê-ri là 0a8177fcd8936a91b5e0eddf995b0ba5, như hiển thị bên dưới.
Chứng chỉ thường không bị vô hiệu trừ khi bị xâm nhập, chẳng hạn như bị đánh cắp trong các cuộc tấn công hoặc bị lộ công khai.
Mặc dù AnyDesk không chia sẻ thời điểm xảy ra vi phạm nhưng Born báo cáo rằng AnyDesk đã ngừng hoạt động 4 ngày bắt đầu từ ngày 29 tháng 1, trong thời gian đó công ty đã vô hiệu hóa khả năng đăng nhập vào ứng dụng khách AnyDesk.
Trang thông báo trạng thái AnyDesk cho biết: “my.anydesk II hiện đang được bảo trì, dự kiến sẽ kéo dài trong 48 giờ tới hoặc ít hơn”.
“Bạn vẫn có thể truy cập và sử dụng tài khoản của mình một cách bình thường. Việc đăng nhập vào ứng dụng khách AnyDesk sẽ được khôi phục sau khi quá trình bảo trì hoàn tất.”
Ngày 1 tháng 2, quyền truy cập đã được khôi phục, cho phép người dùng đăng nhập vào tài khoản của họ, nhưng AnyDesk không đưa ra bất kỳ lý do nào cho việc bảo trì.
AnyDesk xác nhận với BleepingComputer rằng lần bảo trì này có liên quan đến sự cố an ninh mạng.
Chúng tôi đặc biệt khuyến nghị tất cả người dùng nên chuyển sang phiên bản mới của phần mềm vì chứng chỉ ký mã cũ sẽ sớm bị thu hồi.
Hơn nữa, mặc dù AnyDesk nói rằng mật khẩu không bị đánh cắp trong cuộc tấn công, nhưng các tác nhân đe dọa đã có quyền truy cập vào hệ thống sản xuất, do đó, tất cả người dùng AnyDesk nên thay đổi mật khẩu của họ. Hơn nữa, nếu họ sử dụng mật khẩu AnyDesk của mình tại các trang web khác, họ cũng nên thay đổi mật khẩu đó.
Mỗi tuần, chúng ta biết thêm nhiều thông tin về hành vi tấn công mới nhằm vào các công ty nổi tiếng.
Đêm ngày 1 tháng 2, Cloudflare tiết lộ rằng họ đã bị tấn công vào Lễ Tạ ơn bằng cách sử dụng khóa xác thực bị đánh cắp trong cuộc tấn công mạng Okta năm ngoái.
Ba tuần trước, Microsoft cũng tiết lộ rằng họ đã bị tấn công bởi hacker được nhà nước Nga tên là Midnight Blizzard tấn công, kẻ cũng đã tấn công HPE vào tháng 5.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/anydesk-cho-biet-tin-tac-da-xam-nhap-vao-may-chu-va-dat-lai-mat-khau
