Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA отримала інформацію про непоодинокі випадки спроб підключень до комп’ютерів з використанням програми AnyDesk, нібито, від імені CERT-UA.
Невідомі особи надсилали запити на підключення до AnyDesk, прикриваючись іменем «CERT.UA», використовуючи його логотип та ідентифікатор «1518341498» (може змінюватись). У своїх зверненнях вони стверджували, що проводять «аудит безпеки для перевірки рівня захищеності».
CERT-UA ні при чому
Важливо наголосити, що CERT-UA, за окремих обставин, дійсно може використовувати програмні засоби для віддаленого доступу, включаючи AnyDesk. Однак такі дії виконуються виключно після попереднього узгодження з власниками об’єктів кіберзахисту через офіційно затверджені канали зв’язку.
Описана активність не належить до діяльності CERT-UA і є черговою спробою зловмисників застосувати методи соціальної інженерії, зокрема маніпуляції довірою та використання авторитету.
Важливо зазначити, реалізація атаки можлива лише за наявності у зловмисників ідентифікатора AnyDesk жертви та встановленого та працюючого програмного забезпечення AnyDesk на комп’ютері. Це може свідчити про попередній компрометаційний доступ до ідентифікаторів AnyDesk, наприклад, через інші комп’ютери, які раніше використовувалися для санкціонованого віддаленого доступу.
Поради від CERT-UA
CERT-UA закликає дотримуватись наступних рекомендацій для запобігання кіберзагрозам:
- Увімкнення програм віддаленого доступу, таких як AnyDesk, має здійснюватися виключно на період сеансу їхнього використання.
- Проведення робіт із віддаленим доступом необхідно узгоджувати особисто через вже існуючі офіційні канали зв’язку.
- У разі виявлення підозрілої активності або аномалій, негайно повідомляйте підрозділи кіберзахисту та, за потреби, CERT-UA для швидкого реагування.
