{"id":291328,"date":"2024-02-03T13:53:17","date_gmt":"2024-02-03T12:53:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291328"},"modified":"2024-02-20T11:03:02","modified_gmt":"2024-02-20T10:03:02","slug":"anydesk-hack-undercover-weitere-informationen-und-gedanken-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-hack-undercover-weitere-informationen-und-gedanken-teil-2\/","title":{"rendered":"AnyDesk-Hack Undercover &#8211; weitere Informationen und Gedanken &#8211; Teil 2"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/02\/03\/anydesk-hack-undercover-more-information-and-thoughts-part-2\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In Teil 1 meiner Artikelreihe (<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-wurde-im-januar-2024-gehackt-produktionssysteme-betroffen\/\">AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a>) habe ich ja die Informationen, die offiziell von AnyDesk ver\u00f6ffentlicht wurden, sowie einen kleinen Abriss der Historie zusammen getragen. Ich sitze an dem Thema aber seit einigen Tagen dran und in der Zwischenzeit haben mich einige Informationsh\u00e4ppchen erreicht, aus denen sich weitere Erkenntnisse, Fragen und auch Spekulationen ergeben. Nachfolgend findet sich eine Zusammenstellung dieser Punkte.<\/p>\n<p><!--more--><\/p>\n<h2>Offenlegungspolitik des BSI<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/14d55e0ac3b849ab9e04e3c14f07e1aa\" alt=\"\" width=\"1\" height=\"1\" \/>Als erstes noch einige Zeilen zum Thema, dass es vom BSI eine Warnung an einen begrenzten Personenkreis im KRITIS-Sektor gab, die mit der TLP-Klassifizierung <em>AMBER+STRICT<\/em> eingestuft war. Es gibt im Blog ja Diskussionen in den Kommentaren (u.a. zu Teil 1), dass es a) keine Meldung gegeben habe, b) dass man, solange nur Spekulationen vorl\u00e4gen, nichts sagen solle, c) dass der Kreis der Empf\u00e4nger doch die Info h\u00e4tte rausr\u00fccken k\u00f6nnen und d) das die Klassifizierung unverst\u00e4ndlich sei.<\/p>\n<p>Ich schreibe jetzt nicht, dass wir in Deutschland gut darin sind, die Boten einer schlechten Nachricht zu k\u00f6pfen (mir geht dar Fall aus meinem Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/18\/amtsgericht-jlich-verurteilt-entdecker-der-modern-solutions-schwachstelle-zu-geldstrafe-jan-2024\/\">Amtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a> durch den Kopf) und festzulegen, dass wenn niemand dar\u00fcber redet, es auch keine Schwachstellen gibt. Und ich mag auch nicht die Personalie Sch\u00f6nbohm (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/05\/12\/ex-bsi-prsident-arne-schnbohm-vorwrfe-fr-rauswurf-waren-unbegrndet\/\">Ex-BSI-Pr\u00e4sident Arne Sch\u00f6nbohm \u2013 Vorw\u00fcrfe f\u00fcr \"Rauswurf\" waren unbegr\u00fcndet<\/a>) und die Fragen im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/09\/bsi-und-dessen-prsidentin-spielball-des-innenministeriums\/\">Dienstantritt der BSI-Pr\u00e4sidentin: Sind BSI und dessen Pr\u00e4sidentin Spielball des Innenministeriums<\/a> thematisieren. Denn dann h\u00e4tten wir in Deutschland ja Cybersecurity nach Wetterlage, oder wie man das bezeichnen mag &#8211; aber das w\u00e4re der Situation nicht angemessen.<\/p>\n<p>Stattdessen gehe ich davon aus, dass die Verantwortlichen gute Gr\u00fcnde daf\u00fcr hatten, dass so, und nicht anders zu handhaben. Wurde mir so \u00e4hnlich von au\u00dferhalb des BSI kommuniziert. Aber ich formuliere es mal positiv: Ich habe Zweifel, ob die Entscheidungen, so, wie sie getroffen wurden, wirklich klug waren. Ich dr\u00fccke den Verantwortlichen und auch AnyDesk die Daumen (ohne Ironie), dass die Aussagen im <a href=\"https:\/\/anydesk.com\/en\/public-statement\" target=\"_blank\" rel=\"noopener\">Inzidenz-Report<\/a> halten und alles an Problemen abger\u00e4umt ist. Was ich noch festhalten kann: Die TLP-Klassifizierung scheint wirklich zu halten &#8211; ich habe bis heute keinen Einblick in das BSI-Dokument &#8211; mein Dank aber an die verschiedenen anonymen Quellen, die wenigstens umschrieben haben, dass was kommen k\u00f6nnte. So konnte ich mir bereits vor der Freigabe des Inzidenz-Reports ein Bild machen und die Augen nach weiteren Informationssplittern aufhalten.<\/p>\n<h2>Licht ins Dunkel: Zeitplan des Cyberangriffs<\/h2>\n<p>Geht man in den <a href=\"https:\/\/anydesk.com\/en\/public-statement\" target=\"_blank\" rel=\"noopener\">Inzidenz-Report<\/a>, f\u00e4llt mir auf, dass dort keinerlei Zeitangaben enthalten sind, wann was passierte. Da ich schon ein paar Tage am Thema recherchiere, versuche ich mal ein paar Daten aufzuschreiben &#8211; ist zwar alles spekulativ, hilft AnyDesk-Nutzern aber ggf. beim Nachforschen in den Logs.<\/p>\n<ul>\n<li>02. Februar 2024: Am sp\u00e4ten Freitag-Abend (ich bekam die versprochene Info von AnyDesk um 22:44 Uhr per Mail) ging der offizielle Inzidenz-Report \u00f6ffentlich.<\/li>\n<li>01. Februar 2024: Ich hatte im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/01\/anydesk-und-die-stoerungen-es-ist-womoeglich-was-im-busch\/\">AnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a> konkret die Frage nach einem Hack gestellt, weil bei mir seit Tagen Informationen \u00fcber ein Problem vorlagen.<\/li>\n<li>30. Januar 2024: Die AnyDesk-Infrastruktur sowie die Dienste gingen f\u00fcr viele Stunden in einen Maintenance-Modus, wo alles abgeschaltet war.<\/li>\n<li>29. Januar 2024: Meinen Informationen nach wurde an diesem Tag die vertrauliche Benachrichtigung an diverse KRITIS-Stellen verschickt (Best\u00e4tigung auch <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-wurde-im-januar-2024-gehackt-produktionssysteme-betroffen\/#comment-171442\" target=\"_blank\" rel=\"noopener\">hier<\/a>). Zu diesem Datum wurde auch der AnyDesk-Client-Version 8.0.8 ver\u00f6ffentlicht, in dessen <a href=\"https:\/\/anydesk.com\/en\/changelog\/windows\" target=\"_blank\" rel=\"noopener\">Changelog<\/a> die Information zu finden ist, dass das Zertifikat zur digitalen Signierung ausgetauscht wurde.<\/li>\n<li>27. Januar 2024: Das neue Zertifikat zum digitalen Signieren der AnyDesk Binaries (Clients) wurde &#8211; f\u00fcr einen Samstag &#8211; ausgestellt (siehe <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/anydesk-says-hackers-breached-its-production-servers-reset-passwords\/\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> von Bleeping Computer). Das Zertifikat besitzt eine G\u00fcltigkeit vom 24. Januar 2024 bis 25. Januar 2027 &#8211; die G\u00fcltigkeit startet also noch einige Tage fr\u00fcher (siehe auch folgenden <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-hack-undercover-weitere-informationen-und-gedanken-teil-2\/#comment-171491\">Kommentar<\/a>).<\/li>\n<\/ul>\n<p>Sp\u00e4testens zum 29. Januar 2024, eher 27. Januar, ist davon auszugehen, dass AnyDesk bereits sehr klar wusste, dass es ein sehr gro\u00dfes Problem gibt. Aber die Geschichte geht noch weiter, beziehungsweise: Lasst uns noch einige Tage zur\u00fcckgehen.<\/p>\n<p><a href=\"https:\/\/status.anydesk.com\/\" target=\"_blank\" rel=\"nofollow noopener\"><img decoding=\"async\" title=\"\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/02\/image.png\" alt=\"AnyDesk-Status\" \/><\/a><\/p>\n<ul>\n<li>25. Januar 2024: Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/25\/strung-bei-anydesk-jemand-betroffen\/\">St\u00f6rung bei AnyDesk, jemand betroffen?<\/a> gefragt, ob die Nutzer St\u00f6rungen bemerkten. Der Leser, der mich kontaktierte, beklagte Funktionsbeeintr\u00e4chtigungen und vor allem Lizenzprobleme seit ca. dem 20. Januar 2024. Ab diesem Zeitpunkt muss was im Busch gewesen sein. Obiger Screenshot zeigt den <a href=\"https:\/\/status.anydesk.com\/\" target=\"_blank\" rel=\"noopener\">AnyDesk-Statusmonitor<\/a>, wo es am 22. Januar 2024 einen kompletten Ausfall des Customer Portals gab, in den Folgetagen auch.<\/li>\n<li>16. Januar 2024: An diesem Tag wurde der AnyDesk-Client 8.0.7 f\u00fcr Windows freigegeben. Der Changelog l\u00e4sst sich im <a href=\"https:\/\/web.archive.org\/web\/20240117085120\/download.anydesk.com\/changelog.txt\" target=\"_blank\" rel=\"noopener\">Internetarchiv abrufen<\/a> und sagt noch nichts \u00fcber Zertifikatwechsel aus.<\/li>\n<li>4. Januar 2024: Mir liegt ein log-Protokoll eines AnyDesk-Nutzers vor, der einen Fremdzugriff auf seine AnyDesk-Instanz (st\u00e4ndig offen, aber per Passwort gesch\u00fctzt) beobachtete. Ein zweiter Vorfall ist zum 30. Dezember 2023 passiert, wie mir der Leser mitteilte. Auf das Thema gehe ich in Teil 3 separat ein, obwohl ich es inzwischen eher als \"Zufall\" oder Vertipper einstufen w\u00fcrde.<\/li>\n<\/ul>\n<p>In Mails des AnyDesk-Support an den oben zitierten Leser, der St\u00f6rungen beklagte, wurden \"technisch Probleme\" kommuniziert. Entweder wusste AnyDesk da noch nichts vom Vorfall, oder die waren bereits mit der Bereinigung befasst. Der Leser, der mir den Fall vom 4. Januar 2024 kommunizierte, gab an, dass der AnyDesk die Log-Dateien mit den Verbindungen schickt habe. Ich kennzeichne des jetzt mal als Spekulation, aber es deutet sich an, dass der Zugriff auf die Produktivsysteme von AnyDesk in diesem Zeitraum oder sogar noch fr\u00fcher passiert sein k\u00f6nnten\/bzw. m\u00fcssen. Aufkl\u00e4rung k\u00f6nnte sicherlich AnyDesk leisten, die ja angeben, dass man mit Crowdstrike das Ganze forensisch aufbereitet habe.<\/p>\n<h2>Ger\u00fccht: Private Keys und Quellcode abgezogen<\/h2>\n<p>Meinen Informationen nach &#8211; und Lawrence Abrams von Bleeping Computer, mit dem ich h\u00e4ufiger in Kontakt stehe, so auch gestern Abend, hat die gleichen Informationen (<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/anydesk-says-hackers-breached-its-production-servers-reset-passwords\/\" target=\"_blank\" rel=\"noopener\">siehe<\/a>), haben die Angreifer Schl\u00fcssel oder Zertifikate, die zum Signieren von Bin\u00e4rdaten verwendet werden, sowie Quellcodes abgezogen.<\/p>\n<p>Die Zertifikatsgeschichte ist insofern plausibel, als der Client v8.0.8 am 29.1.2024 eine neue Digitalsignatur bekommen hat. Den Abfluss dieser Daten hat bisher niemand dementiert. Sollte man im Hinterkopf behalten.<\/p>\n<blockquote><p>An diese Stelle noch ein Gedanke, den ich nachtragen m\u00f6chte. Im Blog-Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-feuer-von-der-us-politik-nach-microsofts-azure-cloud-gau-und-forderung-zum-microsoft-exit-teil-1\/\">Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1 erw\u00e4hnt, dass Microsoft heftig kritisiert wurde, dass der dort bei\u00a0 Hack abgezogene private Key nicht auf einem Hochsicherheitsmodul (HSM, Hardware Security Module) gespeichert worden war, sondern auf einem Server lag. Das Gleiche gilt nat\u00fcrlich auch f\u00fcr AnyDesk. Dann w\u00e4re der Klau des privaten Schl\u00fcssels zur Code-Signierung m.M. nicht m\u00f6glich gewesen.<\/p><\/blockquote>\n<h2>Ich aktualisiere den Client und gut ist?<\/h2>\n<p>Nun hat AnyDesk in seiner Mitteilung ja geschrieben, dass man die Clients mit neuer digitaler Signatur versehen habe und bittet die Kunden, auf den Client 8.0.8 umzusteigen. Nun wird es aller Voraussicht nach so sein, dass einige Kunden weiter mit den alten Clientversionen unterwegs sind. Ich wei\u00df nicht, ob AnyDesk die von Verbindungen abschneiden und so sch\u00fctzen kann.<\/p>\n<p>Wo ein Nutzer mich drauf hingewiesen hat, ist der Umstand, dass der AnyDesk-Client in vielen Anwendungspaketen mit enthalten ist und f\u00fcr die Kunden zur Fernwartung ausgerollt wird. Dort seit der Client in der Version 7.x im Einsatz hie\u00df es von dieser Quelle. Ich habe es nicht verfolgt, vermute aber, dass es auch da einen neu signierten Client 7.x gibt. Aber viele Software-Pakete, die AnyDesk als Client enthalten, m\u00fcssten jetzt aktualisiert werden. Da schwant mir nichts Gutes.<\/p>\n<blockquote><p>Mir f\u00e4llt mein alter Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/05\/passwort-schwachstelle-bei-windata-9-banking-software\/\">Festes SA SQL-Passwort bei windata 9-Banking-Software<\/a> ein, wo ich eine Sicherheitsl\u00fccke bei der genannten Banking-Software festgestellt habe. Dort war der TeamViewer im Einsatz und ich habe den Entwickler darauf angesprochen, warum da uralte TeamViewer-Clients mit verteilt werden. Antwort war, dass das auf Anforderung der Banken, die das Produkt an Kunden abgeben, so gehalten werden muss.<\/p><\/blockquote>\n<p>Dennis weist in <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-wurde-im-januar-2024-gehackt-produktionssysteme-betroffen\/#comment-171443\">diesem Kommentar<\/a> darauf hin, das das auch ein Thema f\u00fcr das Gesundheitswesen sei, welches mit E-Rezept und Konnektoren k\u00e4mpft. Die Compugroup setzt laut seiner Aussage fast ausschlie\u00dflich auf AnyDesk \u2013 wenn auch mit eigenen Servern abseits der \u00f6ffentlichen AnyDesk-Server. Also genau der obige Fall einer in ein Produkt eingebetteten AnyDesk-Variante). Er meint, dass die digitale Signatur bei den Clients dann auch ung\u00fcltig werden d\u00fcrfte, sofern nicht durch die CGM signiert. Da bin ich gespannt, ob wir da was h\u00f6ren.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Dennis hat sich noch per Mail gemeldet, weil er schon mit Kollegen \u00fcber die in einer Medizinanwendung der Compugroup eingebettete AnyDesk-Variante diskutiert hat. In seiner Mail schrieb er:<\/p>\n<blockquote><p>Die in den CGM (Medistar) ausgelieferten AnyDesk-Versionen sind alle (ich habe mal 3 unabh\u00e4ngige Installationen untersucht) noch auf Versionsstand 7.<\/p>\n<p>Die in den CGM (Medistar) ausgelieferten Anydesk Versionen sind alle (ich habe mal 3 unabh\u00e4ngige Installationen untersucht) noch auf Versionsstand 7.<\/p><\/blockquote>\n<p>Auf administrator.de gibt es einen Thread, wo jemand einen Link auf meinen ersten Blog-Beitrag eingestellt hat &#8211; ich habe dann weitere Artikel verlinkt. Dort wird die Aussage, dass CGM eigene Server verwendet\u00a0<a href=\"https:\/\/administrator.de\/knowledge\/anydesk-kompromittiert-93701849448.html#comment-2936489130\" target=\"_blank\" rel=\"noopener\">hier<\/a> von Nutzer Dani best\u00e4tigt. Dort findet sich von ihm noch folgende Frage, die ich ad hoc nicht beantworten kann:<\/p>\n<blockquote><p>Moin,<\/p>\n<div class=\"blockquote\" data-level=\"1\">#Zitat: da werden sich ja alle CGM \/ Medistar-Kunden freuen&#8230;. da ist Anydesk fest verdrahtet!<\/div>\n<p>#Anwort: CGM hat meines Wissens nach eine Enterprise Lizenz und nutzt entsprechend die eigenen AnyDesk Server Instanzen.<\/p>\n<p>Dementsprechend haben die AnyDesk Clients a) nur dessen FQDN\/IP Adresse\/n b) es wird hier nicht die Code Signatur von Anydesk verwendet. Was hat es nun f\u00fcr die Kunden f\u00fcr einen direkten Impact?<\/p><\/blockquote>\n<p>Es wurde gefragt, ob auch On-Premises-L\u00f6sungen betroffen seien (also das, was die Compugroup offenbar nutzt). Es gibt vom \"hear say\" noch eine, von mir nicht verifizierbare, Aussage eines AnyDesk-Supporters, angeblich die Woche bei einem Kunden vor Ort gefallen, dass On-Premises gehostete L\u00f6sungen nicht betroffen w\u00e4ren, nur die \"Cloud-L\u00f6sungen\" &#8211; also wohl alles, was den Zugang \u00fcber AnyDesk-Punkte abwickelt. Die Aussage w\u00fcrde ich pers\u00f6nlich aber sehr mit Vorsicht genie\u00dfen, da infizierte Clients sich um so etwas nicht k\u00fcmmern.<\/p>\n<blockquote><p><strong>Erg\u00e4nzung:<\/strong> Pau1 weist in <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-hack-undercover-weitere-informationen-und-gedanken-teil-2\/#comment-171558\">diesem Kommentar<\/a> auf weitere Implikationen\u00a0 der digitalen Signatur der Bin\u00e4rdateien hin, die durch den abgeflossenen privaten Schl\u00fcssel (samt Zertifikat) erforderlichen Zertifikats-\/Schl\u00fcsseltausch auftreten k\u00f6nnen. In Teil 3 greife ich noch einen Fund auf, wo m\u00f6glicherweise bereits mit so etwas experiementiert wird.<\/p><\/blockquote>\n<h2>Erste Verdachtsf\u00e4lle: Dr\u00e4ut da was?<\/h2>\n<p>Kommen wir nun zum noch unangenehmeren Teil der Darstellung. Seit ich herumgefragt habe, trudeln bei mir immer neue Informationen und Fragen ein. Ich habe jetzt aber zwei Meldungen vorliegen, die von einer Zunahme von Betrugsanrufen seit einigen Tagen berichten. Eine Fundstelle findet sich im <a href=\"https:\/\/www.heise.de\/forum\/heise-online\/Kommentare\/IT-Sicherheitsvorfall-Anydesk-bestaetigt-Einbruch-in-Produktionssysteme\/Vielleicht-nur-Zufall\/thread-7513254\/\" target=\"_blank\" rel=\"noopener\">heise-Kommentarbereich<\/a>. Die zweite Meldung habe ich gestern vom CISO einer gro\u00dfen \u00f6ffentlichen Organisation in \u00d6sterreich erhalten.<\/p>\n<p>Dann habe ich es bereits in <a href=\"https:\/\/www.golem.de\/news\/cyberangriff-fernwartungssoftware-anbieter-anydesk-gehackt-2402-181848.html\" target=\"_blank\" rel=\"noopener\">meinem Beitrag<\/a> f\u00fcr Golem thematisiert. Die Nacht bin ich auf den Eintrag <a href=\"https:\/\/www.reddit.com\/r\/GooglePixel\/comments\/1agv0s7\/how_did_anydesk_get_on_my_phone_and_is_it\/\" target=\"_blank\" rel=\"noopener\">How did AnyDesk get on my phone and is it compromised now?<\/a> bei reddit.com hingewiesen worden. Ein Nutzer eines Android Smartphones stellte nach dem Aufwachen fest, dass eine App namens AnyDesk auf seinem Ger\u00e4t installiert worden war. Er fragt, wie zum Teufel die App auf das Telefon geraten sein k\u00f6nne, er ist sich sehr sicher, die nicht installiert zu haben. Der Case ist zwar \"wackelig\", weil der AnyDesk-Client \u00fcber eine andere App auf das Ger\u00e4t geraten sein kann. Aber einfach mal im Hinterkopf behalten.<\/p>\n<p>In Teil 3 erfahrt ihr, dass da wohl bereits mit \"AnyDesk\"-Malware experimentiert wird (es gibt wahrscheinlich Samples, die aber von Virenscannern erkannt werden). Und ich m\u00f6chte zwei \"strengere\" Verdachtsf\u00e4lle (also die beiden obigen Beispiele) aufgreifen, die mit dem obigen Hack zusammen h\u00e4ngen.<\/p>\n<ul>\n<li>Einmal geht es um einen Entwickler, der auch f\u00fcr den KRITIS-Bereich t\u00e4tig ist, und bei einem Notebook (der von der gesamten Entwicklung getrennt l\u00e4uft) einen Fremdzugriffsversuch festgestellt hat. Nachtrag: Inzwischen habe ich einen zweiten Fall berichtet bekommen.<\/li>\n<li>Und mir liegt konkret seit heute Mittag eine Meldung aus einem Unternehmen vor, die eine Infektion im Client vermuten (es gab Verbindungen zu <em>playanext.com<\/em>). Ich habe die Freigabe, das anonymisiert zu berichten. Da k\u00f6nnte aber auch was vom OEM mit eingeschleppt worden sein &#8211; lasse ich die Leute noch pr\u00fcfen. Fortigate <a href=\"https:\/\/www.fortiguard.com\/encyclopedia\/virus\/10150462\" target=\"_blank\" rel=\"noopener\">f\u00fchrt die URL<\/a> bzw. das Produkt auf jeden Fall als Riskware auf.<\/li>\n<\/ul>\n<p>Beide F\u00e4lle d\u00fcrften am Ende des Tages harmlos sein &#8211; aber aktuell ist Vorsicht die Mutter Porzellankiste. Vielleicht thematisiere ich noch den Verdacht meines ersten Hinweisgebers, der sei Anctive Directory seit den ersten AnyDesk-Vorf\u00e4llen vorsorglich als \"kompromittiert\" ansieht.<\/p>\n<p>Vorab noch eine Verlinkung auf <a href=\"https:\/\/github.com\/Neo23x0\/signature-base\/blob\/master\/yara\/gen_anydesk_compromised_cert_feb23.yar?ref=thestack.technology\" target=\"_blank\" rel=\"noopener\">diesen GitHub-Beitrag<\/a>, wo jemand eine <a href=\"https:\/\/en.wikipedia.org\/wiki\/YARA\" target=\"_blank\" rel=\"noopener\">Yara<\/a>-Regel f\u00fcr das kompromittierte AnyDesk-Zertifikat eingestellt hat. Damit kann man mit entsprechenden L\u00f6sungen Programmdateien erkennen, die mit dem alten Zertifikat bin\u00e4r signiert sind.<\/p>\n<p><strong>Artikelreihe:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-wurde-im-januar-2024-gehackt-produktionssysteme-betroffen\/\">AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> &#8211; Teil 1<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-hack-undercover-weitere-informationen-und-gedanken-teil-2\/\">AnyDesk-Hack Undercover &#8211; weitere Informationen und Gedanken<\/a> &#8211; Teil 2<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/04\/anydesk-hack-undercover-verdachtsflle-und-mehr-teil-3\/\">AnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/04\/anydesk-hack-undercover-zugangsdaten-zum-verkauf-angeboten-teil-4\/\">AnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/05\/anydesk-hack-eine-nachlese-teil-5\/\" rel=\"bookmark\">AnyDesk-Hack \u2013 Eine Nachlese \u2013 Teil 5<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/05\/anydesk-hack-nachlese-der-bsi-meldung-teil-6\/\">AnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a>\u00a0\u2013 Teil 6<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/06\/anydesk-hack-hinweise-zum-zertifikatstausch-bei-customs-clients-7-x-teil-7\/\">AnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a>\u00a0\u2013 Teil 7<br \/>\n<a title=\"https:\/\/borncity.com\/blog\/2024\/02\/06\/anydesk-hack-weitere-informationen-vom-5-februar-2024-teil-8\/\" href=\"https:\/\/borncity.com\/blog\/2024\/02\/06\/anydesk-hack-weitere-informationen-vom-5-februar-2024-teil-8\/\">AnyDesk-Hack \u2013 Weitere Informationen vom 5. Februar 2024<\/a>\u00a0-Teil 8<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/07\/anydesk-hack-bereits-zum-20-dezember-2023-bemerkt-teil-9\/\">AnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a>\u00a0\u2013 Teil 9<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/08\/anydesk-hack-zum-dezember-2023-besttigt-altes-zertifikat-zurckgerufen-teil-10\/\">AnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a>\u00a0\u2013 Teil 10<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/12\/anydesk-hack-revoke-chaos-bei-alten-zertifikaten-teil-11\/\" rel=\"ugc\">AnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/15\/anydesk-hack-es-gibt-wohl-neu-signierte-clients-wie-sind-eure-erfahrungen-teil-12\/\">AnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/25\/strung-bei-anydesk-jemand-betroffen\/\">St\u00f6rung bei AnyDesk, jemand betroffen?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/01\/anydesk-und-die-stoerungen-es-ist-womoeglich-was-im-busch\/\">AnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/08\/12\/leidiges-thema-anydesk-die-lizenzen-und-deren-7-1-client\/\">Leidiges Thema AnyDesk, die Lizenzen und deren 7.1-Client \u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/06\/anydesk-probleme-stellungnahme-des-herstellers-und-weitere-insights\/\">AnyDesk-Probleme: Stellungnahme des Herstellers und weitere Insights<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/06\/nach-anydesk-rger-nun-rustdesk-offline\/\">Nach AnyDesk \u00c4rger nun RustDesk offline?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Teil 1 meiner Artikelreihe (AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen) habe ich ja die Informationen, die offiziell von AnyDesk ver\u00f6ffentlicht wurden, sowie einen kleinen Abriss der Historie zusammen getragen. Ich sitze an dem Thema aber seit einigen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/03\/anydesk-hack-undercover-weitere-informationen-und-gedanken-teil-2\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[8402,4328],"class_list":["post-291328","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-anydesk","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291328"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291328\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}