{"id":291346,"date":"2024-02-04T09:11:50","date_gmt":"2024-02-04T08:11:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291346"},"modified":"2024-02-20T11:03:15","modified_gmt":"2024-02-20T10:03:15","slug":"anydesk-hack-undercover-verdachtsflle-und-mehr-teil-3","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/04\/anydesk-hack-undercover-verdachtsflle-und-mehr-teil-3\/","title":{"rendered":"AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Nachdem die Best\u00e4tigung vorliegt, dass der Anbieter von Fernwartungssoftware, AnyDesk, Opfer eines Hacks wurde, bei dem auch die Produktivsysteme betroffen waren, habe ich einiges in Teil 1 und Teil 2 meiner Artikelreihe (AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a>) an Informationen aufbereitet. In Teil 3 greife ich Themen auf, die durch die Leser an mich herangetragen wurden. Es gibt um Fremdzugriffsversuche und pl\u00f6tzliche Kommunikation des Client mit fremden URLs. Stufe ich inzwischen zwar als \"falsche Alarme\" ein – die Diskussion hilft aber m\u00f6glicherweise dem einen oder anderen Leser bei der Interpretation weiter. Und es gibt wohl einen ersten Malware-Fund. Nachfolgend findet sich eine Zusammenstellung dieser Punkte.<\/p>\n

<\/p>\n

Verdachtsf\u00e4lle aus der Leserschaft<\/h2>\n

\"\"Mein Blog-Beitrag St\u00f6rung bei AnyDesk, jemand betroffen?<\/a> von Januar 2024 wirkt geradezu als Honeypot, der mir erste Hinweise auf einen Vorfall, aber auch R\u00fcckmeldungen des damals betroffenen Lesers, einbrachte. Nach der Offenlegung des Vorfalls haben mich in den vergangenen Tagen eine Reihe Informationen aus dem Kreis der Leserschaft erreicht – und mit zwei Lesern stehe ich seit dieser Woche (und vor der Offenlegung durch AnyDesk) in Kontakt, um \"ungew\u00f6hnliche Beobachtungen\" zu diskutieren.<\/p>\n

Fall 1: Versuchter Fremdzugriff<\/h3>\n

Als ich diese Woche erste vage Hinweise auf einen Cybervorfall bei AnyDesk erhielt, habe ich in meinen Communities (X, BlueSky, Mastodon, Facebook-Gruppen) nachgefragt, ob jemand mehr wei\u00df. In diesem Kontext hat sich ein Leser in einer privaten Nachricht gemeldet, weil ihm im Vorfeld des Sachverhalts ein versuchter Fremdzugriff aufgefallen war. Ich habe mit dem Leser letzten Freitag, vor der Offenlegung durch AnyDesk, telefoniert und kenne einige Hintergr\u00fcnde. So viel: Er arbeitet u.a. auch schon mal f\u00fcr Auftraggeber im KRITIS-Bereich und hat auf einem seiner Notebooks, die er von den Entwicklungsrechnern getrennt betreibt, am 4. Januar 2024 pl\u00f6tzlich einen Fremdzugriffsversuch beobachtet.<\/p>\n

Das betreffende System lief nach seinen Aussagen mit permanentem Dauerzugriff durch AnyDesk, wobei dieser aber durch ein komplexeres Passwort gesch\u00fctzt sei. Es bekam dann auf einem zweiten Rechner die Aufforderung zur Authentifizierung des Zugriffs. H\u00e4tte er diese best\u00e4tigt, w\u00e4re der unbekannte Dritte im System gewesen. Da der Leser nach seinen Aussagen bereits einen Ransomware-Fall mitgemacht hat, fuhr er sein NAS herunter und kappte die Internetverbindungen. Dann fing er mit der Pr\u00fcfung auf einen Angriff an.<\/p>\n

Die Pr\u00fcfung war zwar ergebnislos, aber der Leser schrieb mir dazu \"Ich hatte den unbeaufsichtigten Zugang mit Passwort konfiguriert und es wirkte so, als h\u00e4tte jemand dieses mit Brute-Force geknackt – und es war ein wirklich komplexes Passwort.\" (Nach meinen Informationen handelt es sich wohl um ein privates Notebook, das von den Entwicklungsger\u00e4ten getrennt ist, aber am Internet h\u00e4ngt.<\/p>\n

Der Leser teilte mir mit, dass er dem AnyDesk-Support die Logs geschickt habe. Hier die Nachricht an den AnyDesk-Support:<\/p>\n

Unterst\u00fctzung bei LogFiles<\/p>\n

Ich bin noch kein Kunde bei ihnen und hatte \"AnyDesk Kostenlos\" benutzt.<\/p>\n

Heute morgen hat sich augenscheinlich jemand in meinen unbeaufsichtigten Zugang eingeloggt.<\/p>\n

Zumindest war das Fenster dazu offen und ich bin der einzige der das Passwort kennt.<\/p>\n

Ich habe den Trace an die Mail angehangen und w\u00fcrde mich freuen wenn sie mir best\u00e4tigen k\u00f6nnen ob und wie lange jemand auf meinem Arbeitsplatz war.<\/p><\/blockquote>\n

Der Leser sagte, dass er aber keine R\u00fcckmeldung erhielt – ich tippe darauf, weil er kein Kunde ist. Mir liegt die log-Datei vor und der Leser hat mir auch die ID des fremden Nutzers mitgeteilt. Dieser forderte erstmals einen Zugriff am 29. Dezember 2023 \u00fcber anynet.any_socket<\/em> (via relay) an. Diese Session wurde aber schnell durch diesen fremden Benutzer beendet. Die Remote AnyDesk Client-Version war die 8.0.6, wenn ich den Log korrekt interpretiere. Im log findet sich dann ein zweiter Versuch vom 4. Januar 2024 mit der gleichen ID, wo jemand versucht, eine Background-Verbindung mit Zugriff auf Screen, Tastatur, Mikrofon etc. (wenn ich es richtig interpretiere) aufzubauen. Wurde durch den Leser aber nicht zugelassen.<\/p>\n

Das Ganze muss als ungekl\u00e4rter Verdachtsfall stehen bleiben. Ich habe nicht die Expertise, die Eintr\u00e4ge in der Logdatei komplett zu analysieren – von AnyDesk fehlt die R\u00fcckmeldung. Ich hatte dann im Vorfeld dieses Artikels beim Leser nachgefragt, ob der Request auf einen Vertipper eines Fremdnutzers zur\u00fcckgehen k\u00f6nnte. Das kann nicht ausgeschlossen werden. Ich w\u00fcrde diesen Vorfall momentan vage unter \"Fehlalarm\" einsortieren.<\/p>\n

Schwank am Rande, da wir ja in Teil 1 und Teil 2 Diskussionen \u00fcber die TLP Amber-Strict klassifizierte Warnung des BSI haben. Im Telefonat am Freitag, den 2. Februar 2024 mit dem Leser, wo es um obige Beobachtung ging, erw\u00e4hnt ich auch die BSI-Warnung mit beschr\u00e4nktem Teilnehmerzugriff. Erste Reaktion des Lesers \"da gibt es nichts, ich habe KRITIS-Freigabe\". Mein Hinweis, mal genauer nachzuschauen endete dann damit, das der Leser nach 10 Minuten anrief und meinte \"Ja, es gibt eine Warnung, aber wegen TLP darf ich nicht mitteilen, was drin steht.\"<\/p><\/blockquote>\n

Fall 1a: Versuchter Fremdzugriff<\/h3>\n

Nachtrag vom 5.2.2024: Im Nachgang dieser Artikelreihe hat mich ein Leser angerufen, der ebenfalls einen versuchten Fremdzugriff auf einem Linux-System feststellte. Ich habe die log-Datei vom Leser bekommen. Der Leser schrieb an den AnyDesk-Support:<\/p>\n

Am 13.12.23 gegen 19 Uhr gab es einen unauthorisierten Zugriff auf meinen Computer.<\/p>\n

Angeblich von \"Support (424119529)\" an 946984361 (meine ID). Siehe Zeile 2003 im \"anydesk.trace\".<\/p>\n

Ich bitte um R\u00fcckmeldung und Aufkl\u00e4rung wie das passieren konnte. Mich besorgt das massiv.<\/p><\/blockquote>\n

Mein Stand ist, dass es nie eine R\u00fcckmeldung gab. Im anydesk.trace<\/em>-Protokoll sehe ich (wie auch im Trace-Protokoll des obigen Falls), dass es eine Anforderung gab, die in diesem Fall auch gestattet wurde. Es gab einen kurzen Zugriff auf die Zwischenablage, aber die Verbindung wurde binnen einer Minute wieder geschlossen. Zielsystem war ein Linux Mint mit einem AnyDesk-Client\u00a0Version 6.3.0. Ich w\u00fcrde das jetzt vom Bauchgef\u00fchl auch als Vertipper klassifizieren – ein mulmiges Gef\u00fchl bleibt aber.<\/p>\n

Erg\u00e4nzung: Der Nutzer hat mir aber berichtet, dass er die Sitzung geschlossen habe, weil die Maus sich angefangen habe, zu bewegen. Da war jemand auf dem System.<\/p><\/blockquote>\n

Fall 2: AnyDesk-Client mit connect zu playanext.com<\/h3>\n

Auf Grund der Berichterstattung hier im Blog schauen Administratoren nun wohl genauer, was AnyDesk verbindungsm\u00e4\u00dfig so treibt. Georg hat sich gestern gemeldet und schrieb, dass man die anydesk.exe<\/em> durch die Endpoint-L\u00f6sung zur Ausf\u00fchren erst einmal blockiert und einen externen Security Dienstleister aktiviert habe. Denn die Kontrolle der log-Dateien der letzten 10 Tage habe zu einem Fund gef\u00fchrt.<\/p>\n

Zum Hintergrund, der ganz interessant ist, und einige Leser tangieren d\u00fcrfte: Das Unternehmen selbst setzt AnyDesk nicht ein, ist also kein Kunde dieses Anbieters. Aber im Unternehmen kommt eine ausl\u00e4ndische ERP-Software zum Einsatz, wo AnyDesk zur Fernwartung mit ausgerollt wird.<\/p>\n

Der kontaktierte Security-Dienstleister hat dann in diesem Kontext in den log-Dateien Funde f\u00fcr Verbindungen mit der URL playanext.com <\/em>(konkret api.playanext.com<\/em>) gefunden und an den Kunden gemeldet. Da l\u00e4utetet wohl alle Alarmglocken, da ein Command & Control Server vermutet wurde. Es wurden alle Verbindungen geblockt und die Ausf\u00fchrung von AnyDesk unterbunden.<\/p>\n

Sp\u00e4ter erg\u00e4nzte der Leser noch, dass die Systeme, auf denen das aufgefallen ist, die Anydesk-Version 8.0.7 und 8.0.6 aufweisen. Zu einer anydesk.exe schreibt er, dass diese den SHA-1 Hash: 0B82B980EEA1E8D2BE9E70E01FE1421AA38ABC7D besitzt und am 16.01.24 14:10:29 \u00fcbersetzt wurde.<\/p>\n

Dieser Client wurde am 17.1.2024 erstmals von der Endpoint-L\u00f6sung der Unternehmensumgebung detektiert. Dazu schrieb mit der Leser, dass die Version 8.0.7 am Abend des 17.01.24 wohl schon wieder entfernt wurde (es ging wohl auf die 8.0.6 zur\u00fcck). Das geht aus den AnyDesk-Log-Files hervor, und der betroffene Server steht in der T\u00fcrkei, teilt mit der Leser mit. Und er erg\u00e4nzte: \"Die 8.0.7. wurde entweder dem AutoUpdater gar nicht zur Verf\u00fcgung gestellt oder direkt wieder zur\u00fcckgenommen.\"<\/p><\/blockquote>\n

Durch Sysmon wurde protokolliert, dass die anydesk.exe direkt diese URL aufgeruft. Der Leser meinte in der Folgemail, dass playanext.com <\/em>den Anschein einer Softwareverteilung erweckt. Eine Google Suche nach \"playanext.com reputation\" hinterlie\u00df aber eher ein gemischtes Gef\u00fchl beim Leser.<\/p>\n

Ich hatte das kurz in Teil 2 angerissen und geschrieben, dass Fortigate die URL<\/a> bzw. das Produkt auf jeden Fall als Riskware auff\u00fchrt. Hat irgend etwas mit Tracking zu tun. Die Schwarmintelligenz der Leserschaft funktioniert aber, denn Leser THunter hat sich mit diesem Kommentar<\/a> gemeldet (danke daf\u00fcr) und schrieb:<\/p>\n

Hallo G\u00fcnther,<\/p>\n

die URL api.playanext.com wurde von fr\u00fcheren Anydesk Versionen < 7.x angesprochen. Dies war eine Rest-API zur Lizenzabfrage, Telemetriedaten und Downloadsteuerung, das war zu Zeiten noch von philandro Software GmbH.<\/p>\n

In diversen SandboxReports von Joes, HybridAnalyse oder AlienVault findest Du Anydesk.exe Samples aus den Jahren 2019-2021, die damals schon nach api.playanext.com telefoniert haben.<\/p>\n

Die URL api.playanext.com wird oftmals mit Malware in Verbindung gebracht, weil diese auch zur Telemetrie zweckentfremdet wird. Ein BinaryDownload von dieser URL erfolgt aber nicht.<\/p><\/blockquote>\n

Der Leser hat mir noch den Link auf die Reports von urlscan.io<\/a> gepostet, wo diese URL mehrfach gelistet und Entwarnung gegeben wird. Ich habe dem Leser das auch so mitgeteilt, verorte das Ganze nun als \"falscher Alarm\". Die Ausf\u00fchrungen des oben erw\u00e4hnten Leser legen aber nahe, dass die URL playanext.com <\/em>auch in den Clients der 8er-Version von AnyDesk verwendet wird.<\/p>\n

Erg\u00e4nzung:<\/strong> Ein Leser wies mich per Mail darauf hin, dass der AnyDesk 8.0.7-Client nur f\u00fcr 48 Stunden online gewesen sei, und zwar vom 16. Jan. 2024 15:39 GMT bis zum 18 Jan. 2024 15:31 GMT.<\/p><\/blockquote>\n

Wechsel der Infrastruktur im Januar<\/h3>\n

Blog-Leser Daniel, der in einem IT-Unternehmen mit AnyDesk betraut ist, hatte mich ja auf die St\u00f6rungen im Januar 2024 hingewiesen und ich hatte daraus dann den Beitrag St\u00f6rung bei AnyDesk, jemand betroffen?<\/a> ver\u00f6ffentlicht. Daniel liest nat\u00fcrlich im Blog mit und schrieb mit in einer Mail.<\/p>\n

Ich habe seit die St\u00f6rung aufgetreten ist, die Netzwerkverbindungen zu und von AD genau beobachtet und dabei einen mehrfachen Wechsel in der Infrastruktur festgestellt.<\/p>\n

Schon beim Auftreten des Problems habe ich an \u00abB\u00f6se Buben\u00bb gedacht und genau so etwas wird wohl in B\u00e4lde rauskommen denke ich. Beobachte jedenfalls weiter und bin am vorbereiten entsprechender Ma\u00dfnahmen. AD ist nicht mehr vertrauensw\u00fcrdig f\u00fcr mich.<\/p><\/blockquote>\n

Die Mail erreichte mich vor der Offenlegung des Hacks durch AnyDesk. Bez\u00fcglich \"Wechsel in der Infrastruktur\" bedeutet, dass Netzwerkanfragen jeweils an andere Netzwerkadressen wie am Vortag gehen. Das war f\u00fcr ihn der Hinweis, dass da im Hintergrund was im Busch ist und der Anbieter die Infrastruktur neu strukturiert und umbaut.<\/p>\n

Passwort\u00e4nderung bei AnyDesk<\/h2>\n

In der Verlautbarung von AnyDesk hei\u00dft es, dass man die Kennw\u00f6rter der Kunden-Zug\u00e4nge zu den Portalen vorsorglich zur\u00fcckgesetzt habe. Es scheint wohl zwei Portale My Anydesk I und My Anydesk II zu geben. Bei Konten, die unter My Anydesk I\u00a0 gef\u00fchrt werden, ist keine Passwortwechsel erforderlich, w\u00e4hrend dieser bei My Anydesk II wohl erzwungen wird. Ich kann aber nicht beurteilen, welche Kunden wo gef\u00fchrt werden und warum nur bei einem Portal ein Passwortwechsel erforderlich ist.<\/p>\n

Probleme mit Client-Download<\/h2>\n

Mark hat mich heute fr\u00fch per Mail kontaktiert und schrieb, das man fl\u00e4chendeckend AnyDesk einsetzt und meist bei den Kunden einen eigenen Client nutzt, den die Firma \u00fcber my.anydesk.com <\/em>generieren kann. Er wollte am Sonntag Morgen alle Clientversionen aktualisieren (auch ein neues festes Passwort setzen), damit die Firma den Client als Vorsichtsma\u00dfnahme \u00fcberall austauschen kann.<\/p>\n

Nach dem Login unter my.anydesk.com<\/em> wurde er zur Passwortsetzung aufgefordert (siehe oben). Nachdem er aber nun die Clientversion angepasst hatte und das Ganze speichern wollte, funktionierte dies nicht. Die Schaltfl\u00e4che zum Speichern wird grau und dreht vor sich hin, gespeichert werden die \u00c4nderungen jedoch nicht.<\/p>\n

\"AnyDesk<\/a>
\nAnyDesk Custom Client Generator, Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Der Leser erg\u00e4nzte dann in einer zweiten Mail: Das Speichern der eigenen Clientversionen klappt, wenn kein Passwort f\u00fcr den Vollzugriff hinterlegt wird. Aber genau das verwenden wir ja bei Server, damit keiner auf \"Annehmen\" dr\u00fccken muss.Sobald ich ein Passwort eingebe (ein aus KeePass generiertes als auch selbst ausgedachtes) dreht der Speicherbutton und es passiert nichts. <\/em>Vielleicht hilft es Lesern weiter, die ebenfalls Clients generieren.<\/p>\n

Fehlalarm beim Download von AnyDesk 8.0.8?<\/h2>\n

Auf Facebook hat sich ein Nutzer gemeldet und schrieb, dass das aktuelle Update \"gestern\" (Freitag, 2.2.2024) sofort blockiert von seinem System blockiert wurde, da es laut AV-Software kompromittiert sei.<\/p>\n

-> performed mit winget upgrade –all<\/p>\n

< 8.0.6 auf Version 8.0.8<\/p>\n

AnyDesk [AnyDeskSoftwareGmbH.AnyDesk] Version 8.0.8<\/p><\/blockquote>\n

Der Download erfolgte von download.anydesk.com\/AnyDesk.exe<\/a>. D\u00fcrfte aber ein Fehlalarm sein, sch\u00e4tze ich mal – braucht aber kein Mensch.<\/p>\n

Verd\u00e4chtige Aktivit\u00e4t auf Virustotal<\/h2>\n

Ein Blog-Leser hat mir gestern diesen Link<\/a> auf Virustotal geschickt. Jemand hat bereits Ende Oktober 2023 eine mit .NET erstellte Datei OKJhBah6[dot]exe<\/em> auf Virustotal zum \"Testen\" hochgeladen. Diese wird von 48 Scannern als Malware erkannt, was gut ist.<\/p>\n

\"Malware<\/p>\n

Weniger gut ist die Erkenntnis, dass diese Datei mit einem Zertifikat von \"philandro Software GmbH\" signiert wurde. Ich konnte jetzt nicht die Details (Seriennummer des Zertifikats) vergleichen (Bleeping Computer hat hier<\/a> die Informationen). Aber die alten AnyDesk-Clients waren mit einem Zertifikat von \"philandro Software GmbH\" signiert. So ganz naiv vermute ich mal, dass da jemand an einer Malware entwickelt und testet, ob das Ergebnis von Virenscannern erkannt wird. Ist zwar auch kein \"Smoking Gun\" – aber es ist schon merkw\u00fcrdig, dass da Malware mit einem Zertifikat von \"philandro Software GmbH\" signiert wurde.<\/p>\n

Nachtrag:<\/strong> Ein Leser informierte mich per Mail, dass es sich auf Grund des obigen Virustotal-Funds eine aktuelle Datei [mit dem Client] aus seinem Account beim My Anydesk 1-Portal heruntergeladen habe und sich die Signatur angesehen hat. Aussage ist, dass die beiden Seriennummern identisch sind. AnyDesk hat immer noch diese Signatur in den 7.0.14 Clients, der am heuten 4.2.2024 heruntergeladen wurde. Was dem Leser aufgefallen ist: Im Gegensatz zu der normalen Version des Clients fehlt in dieser Datei die Signatur mit sha1-Algorithmus. Eine neu erstellte Client-Datei enth\u00e4lt auch noch immer genau die gleiche Signatur. Ist etwas merkw\u00fcrdig.<\/p>\n

Ansonsten hat mich ein Leser per Mail darauf hingewiesen, dass die Malware-Datei nicht mit dem Zertifikat aus dem AnyDesk-Umfeld signiert wurde.<\/p>\n

Abschlie\u00dfende 2 Cents<\/h2>\n

Was bleibt vom ganzen Fall, der mal, ausgehend vom Beitrag St\u00f6rung bei AnyDesk, jemand betroffen?<\/a>, als vager Verdacht meinerseits gestartet ist? Es hat mindestens \u00fcber eine Woche, von der Warnung des BSI an einen selektiven Kreis bis zur Best\u00e4tigung des Hacks durch AnyDesk, gebraucht, bis das Thema \u00f6ffentlich war. Ob der \"move\" vom BSI so gl\u00fccklich war, muss jeder selbst beantworten – die Informationen, die sich so ansammeln, werfen kein gutes Licht auf die Angelegenheit. O-Ton eines Kommentars von 43rtgfj5 bei Golem<\/a>: \"Ich hab die Meldung am Montag erhalten (Beruflich bedingt), diese gelesen und laut gelacht. Die Meldung war inhaltlich absolute 0815 News ohne wirklichen Mehrwert. Um so erschrockener war ich von der Einstufung laut TLP. F\u00fcr mich absolut unverst\u00e4ndlich, warum die so eingestuft war.\"<\/p>\n

Die Mitteilung von AnyDesk von Freitag-Nacht (2.2.2024) lautet ja, dass man die Kompromittierung \u00fcberwunden habe und keine Gefahr mehr bestehe, AnyDesk als Client zu verwenden. Bisher liegt mir keine Informationen vor, dass dem nicht so sei. Die obigen F\u00e4lle zeigen aber, dass jetzt jede Menge Unsicherheit bei den Kunden besteht und immer neue Fragen aufkommen. Ich denke, am Montag, den 5.2.2024 wird das erst richtig losgehen, weil Administratoren entscheiden m\u00fcssen, wie sie vorgehen.<\/p>\n

An dieser Stelle zwei Hinweise: In Teil 2 hatte ich ja die diesen GitHub-Beitrag<\/a> verlinkt, wo jemand eine Yara<\/a>-Regel f\u00fcr das kompromittierte AnyDesk-Zertifikat eingestellt hat. Bei meinen Recherchen bin ich nun auf den Sentinel One-Beitrag Customer Guidance on Emerging AnyDesk Cybersecurity Incident<\/a> gesto\u00dfen, wo deren Spezialisten erste Hinweise geben, aber schreiben, dass die Situation \"noch unklar sei\". Dort hei\u00dft es, dass man auf den Client v 8.0.8 gehen soll.<\/p>\n

Alles, was bisher von AnyDesk kommuniziert wurde, bleibt zu vage – wir wissen nicht mal, wann die Kompromittierung stattgefunden hat. Laut Anbieter hat man den Vorfall ja mit Crowdstrike aufgearbeitet – es m\u00fcsste also eine Analyse vorliegen. Ob man mir diese, wie im Fall der S\u00fcdwestfalen IT bereitstellt (siehe Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT (SIT): Nachlese IT-Forensik-Bericht Teil 2<\/a>), sei mal dahin gestellt. Ich sehe aber die Notwendigkeit, dass AnyDesk sehr viel mehr an Details auf den Tisch legt, als das, was bisher eingestanden wurde. Wer die Berichterstattung in den Fachmedien oder hier im Blog nicht verfolgt, hat das Ganze bisher nicht mitbekommen. Es ist in meinen Augen ein Beispiel, wie nicht unbedingt auf einen Cybervorfall reagiert werden sollte.<\/p>\n

Nachtrag:<\/strong> Ich schreibe gerade Teil 4, AnyDesk-Zugangsdaten von Kunden zum AnyDesk-Portal werden schon im Darknet angeboten. Es scheint sich aber um Daten aus einem alten Leak zu handeln.<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> – Teil 1
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese \u2013 Teil 5<\/a>
\nAnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a>\u00a0\u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a>\u00a0\u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen vom 5. Februar 2024<\/a>\u00a0-Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a>\u00a0\u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a>\u00a0\u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSt\u00f6rung bei AnyDesk, jemand betroffen?<\/a>
\nAnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a><\/p>\n

Leidiges Thema AnyDesk, die Lizenzen und deren 7.1-Client \u2026<\/a>
\nAnyDesk-Probleme: Stellungnahme des Herstellers und weitere Insights<\/a>
\nNach AnyDesk \u00c4rger nun RustDesk offline?<\/a><\/p>\n

Fernwartungssoftware-Anbieter Anydesk gehackt<\/a> (Artikel bei Golem)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nachdem die Best\u00e4tigung vorliegt, dass der Anbieter von Fernwartungssoftware, AnyDesk, Opfer eines Hacks wurde, bei dem auch die Produktivsysteme betroffen waren, habe ich einiges in Teil 1 und Teil 2 meiner Artikelreihe (AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen) … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[8402,4328],"class_list":["post-291346","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-anydesk","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291346","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291346"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291346\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}