AnyDesk Software GmbH tarafından dağıtılan önde gelen uzak masaüstü uygulaması AnyDesk’in tehlikeye atılması, siber güvenlik alanında oldukça heyecan yarattı. Bu açıklama, yazılımın kişisel bilgisayarlara ve çeşitli cihazlara platformdan bağımsız uzaktan erişim sunan özel yapısı göz önüne alındığında endişeleri artırmaktadır.
2 Şubat 2024’te şirket, AnyDesk’e yapılan bir siber saldırının üretim sistemlerini tehlikeye attığını açıkladı. Bu tür yazılımların siber suçluların eline geçme ihtimali, ana uygulamayı kullanan kişisel bilgisayarlara ve diğer cihazlara yetkisiz erişim sağlama potansiyeli göz önüne alındığında önemli bir endişe kaynağıdır.
AnyDesk’e yapılan siber saldırı, ihlal belirtilerine yanıt olarak gerçekleştirilen güvenlik denetiminin sonuçlarını ayrıntılarıyla açıklayan bir kamu açıklamasıyla gün ışığına çıktı.
“Bazı sistemlerimizde bir olay olduğuna dair belirtilerin ardından bir güvenlik denetimi gerçekleştirdik ve üretim sistemlerinin güvenliğinin ihlal edildiğine dair kanıtlar bulduk. Siber güvenlik uzmanları CrowdStrike’ın da dahil olduğu bir iyileştirme ve müdahale planını derhal devreye aldık.”
AnyDesk kullanıcılara durumun kontrol altında olduğu konusunda güvence verirken, asıl soru akıllarda kalıyor: Bu tam olarak neyi gerektiriyor? Kapsamlı bir inceleme, bu siber güvenlik olayının sonuçlarına ve potansiyel yansımalarına ışık tutar.
AnyDesk’te Siber Saldırı: Dark Web’de Sunulan Kimlik Bilgileri
AnyDesk, önleyici bir önlem olarak tüm kullanıcıları, özellikle de başka yerlerde aynı kimlik bilgilerini kullananları, şifrelerini güncellemeye çağırdı. Resmi açıklamada, “Önlem olarak web portalımız my.anydesk.com’un tüm şifrelerini iptal ediyoruz ve aynı kimlik bilgilerinin başka bir yerde kullanılması durumunda kullanıcıların şifrelerini değiştirmelerini öneriyoruz” deniyor.
Ancak siber saldırının ardından, Dark Web’de tanımlanan tehdit aktörlerinin güvenliği ihlal edilmiş AnyDesk kimlik bilgilerine erişim satmasıyla daha karmaşık bir hal aldı.
Siber güvenlik firması Resecurity, bu yasa dışı ticarete karışan çok sayıda tehdit aktörünü tespit etti. Böyle bir aktör, “Jobaaaaa” takma adını kullanarak, Dark Web forumu Exploit’te 18.000’den fazla AnyDesk müşterisinin kimlik bilgilerini satışa sundu[.]Tehdit aktörü, ele geçirilen verilerin teknik destek dolandırıcılığı ve kimlik avı faaliyetleri için ideal olduğunu ortaya çıkardı.
AnyDesk verileriyle ilgili tartışma, bir tehdit istihbarat platformunun, karanlık ağda alınıp satılan verilerin son ihlalden değil, geçmişteki bilgi hırsızlığı enfeksiyonlarından kaynaklandığını belirtmesiyle ilgi çekici bir hal aldı.
Bu durum, sosyal medya platformu X üzerinde kimlik bilgisi satışının ardındaki zamanlama ve gerekçe hakkında tartışmalara yol açtı; Hudson Rock, tehdit aktörlerinin durumdan çıkar sağlıyor olabileceğini öne sürdü; bu iddia Resecurity tarafından da desteklendi.
Resecurity ayrıca, 4 Şubat itibarıyla çok sayıda hesabın güncellenmiş şifreler olmadan varlığını sürdürdüğünü ve iki faktörlü kimlik doğrulamanın (2FA) sağladığı ek güvenlik katmanından yoksun olduğunu vurguladı.
Tehdit aktörlerinden siber güvenlik firmasına verilen örnekler, hem bireysel tüketiciler hem de kuruluşlar için güvenliği ihlal edilmiş erişim kimlik bilgileri ile ilişkilendirilerek AnyDesk müşteri portalına giriş yapılmasına olanak sağladı. Tehdit aktörü, güvenlik önlemi olarak bazı şifreleri gizledi. Aktör, 18.317 hesabın kripto para birimiyle ödenecek 15.000 dolara satılmasını önerdi. Ayrıca, işlemi Exploit’te emanet yoluyla tamamlama isteği de mevcuttu.
Güvenliği ihlal edilen bu hesaplar, özellikle çoğunluğunda 2FA’nın bulunmadığı göz önüne alındığında potansiyel bir tehdit oluşturuyordu.