Die Fernwartungssoftware AnyDesk wurde Ziel eines Cyberangriffs, der erhebliche Aufmerksamkeit auf sich gezogen hat. Im Zentrum dieses Vorfalls stand der unbefugte Zugriff auf die Produktionssysteme des Unternehmens, was zur vorsorglichen Zurücksetzung aller Passwörter führte.
Besonders besorgniserregend ist der Diebstahl des Code-Signierungszertifikats, da solche Zertifikate dazu verwendet werden, um die Authentizität und Integrität von Software zu gewährleisten. Wenn Cyberkriminelle Zugriff auf ein solches Zertifikat erhalten, könnten sie Malware als legitime Software tarnen, was das Vertrauen in die Sicherheit von AnyDesk und potenziell in die gesamte Lieferkette untergräbt. Einige moderne Antivirenprogramme vertrauen Anwendungen automatisch, wenn sie mit einem legitimen Zertifikat signiert sind, wodurch bösartige Programme, die mit dem gestohlenen AnyDesk-Zertifikat signiert wurden, möglicherweise nicht erkannt werden.
Zudem wurden nach dem Bekanntwerden des Sicherheitsvorfalls auf einem prominenten Cyberkriminalitätsforum mehr als 18.000 Anmeldeinformationen von AnyDesk-Kunden zum Verkauf angeboten. Es wird vermutet, dass diese Anmeldeinformationen mit Hilfe von Information-Stealer-Malware, die Systeme von AnyDesk-Nutzern kompromittiert hatte, erlangt wurden. Obwohl der Verkauf der Anmeldeinformationen nicht direkt mit dem Einbruch in Zusammenhang steht, glauben Sicherheitsexperten, dass Cyberkriminelle versuchen, die Anmeldeinformationen zu monetarisieren, bevor sie von den Nutzern geändert werden.
Das präventive Zurücksetzen aller Passwörter für das my.anydesk.com-Portal ist auch als Reaktion auf diesen Vorfall zu sehen.
Interessanterweise löste erst eine Downtime der AnyDesk-Website Ende Januar Spekulationen aus, die sich bald bestätigten, als AnyDesk ein Sicherheitsupdate durchführte und Zertifikate austauschte, um die Sicherheitslücke zu schließen. In der aktualisierten FAQ auf der Website des Unternehmens wurde nun aber veröffentlicht, dass die Untersuchungen im Januar Hinweise darauf ergeben hätten, dass der Einbruch in die Systeme von AnyDesk bereits im Dezember 2023 stattgefunden hat.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte auf den Vorfall mit einer speziellen Warnung, die jedoch aufgrund ihrer TLP:AMBER+STRICT Klassifizierung nur einem begrenzten Personenkreis, nämlich den Betreibern kritischer Infrastrukturen, zugänglich gemacht wurde. Diese Einschränkung spiegelt die Sensibilität der Informationen und die potenzielle Gefahr wider, die von dem Hack ausgehen könnte, insbesondere im Hinblick auf Man-in-the-Middle- und Supply-Chain-Angriffe, die durch den möglichen Abfluss von Schlüsseldaten ermöglicht werden könnten. Das BSI bewertete den Vorfall mit einer Warnstufe 2/Gelb, was auf eine verstärkte Beobachtung von Auffälligkeiten hinweist, ohne jedoch von einer unmittelbaren kritischen Bedrohung auszugehen.
