Farlig bakdør i populær diskverktøy: Daemon Tools rammet av supply-chain-angrep

Supply-chain-angrep rammet Daemon Tools i over en måned

Daemon Tools, et av markedets mest brukte verktøy for å montere diskavbildninger, har vært utsatt for et målrettet supply-chain-angrep som har pågått i over en måned. Ifølge sikkerhetsfirmaet Kaspersky startet angrepet 8. april og var fortsatt aktivt da varslingen ble offentliggjort.

Angrepet har ført til at tusenvis av maskiner i over 100 land har blitt infisert med skadelig programvare. Infeksjonen skjer via oppdateringer signert med utviklerens offisielle digitale sertifikat og lastet ned direkte fra selskapets nettsider.

Hvilke versjoner er berørt?

Kaspersky opplyser at versjonene 12.5.0.2421 til 12.5.0.2434 av Daemon Tools er rammet. Infeksjonen påvirker kun Windows-versjoner av programmet. Detaljene tyder på at angrepet har vært svært målrettet, da kun et lite utvalg av de infiserte maskinene har mottatt en sekundær last – en indikasjon på at angriperne har hatt spesifikke ofre i tankene.

Hva gjør skadevaren?

Den første lasten som installeres, samler inn sensitiv informasjon fra de infiserte systemene. Dette inkluderer:

• MAC-adresser
• Vertsnavn (hostnames)
• DNS-domener
• Kjørende prosesser
• Installert programvare
• Systemspråk (system locales)

Denne informasjonen blir deretter sendt til en angriperkontrollert server. Blant de tusenvis av infiserte maskinene har om lag tolv maskiner – tilhørende organisasjoner innen detaljhandel, forskning, offentlig sektor og produksjon – mottatt en ytterligere skadelig last.

Hvorfor er slike angrep vanskelige å forsvare seg mot?

Supply-chain-angrep som dette er spesielt farlige fordi de utnyttes via offisielle oppdateringer fra en pålitelig kilde. Siden oppdateringene er signert med utviklerens digitale sertifikat, oppfattes de som trygge av operativsystemet og sikkerhetsprogramvare. Dette gjør det vanskelig for brukere og bedrifter å oppdage trusselen før det er for sent.

Kaspersky har ikke klart å få kontakt med verken utvikleren AVB eller andre relevante aktører for ytterligere kommentarer per publiseringstidspunktet.

Hva bør brukere gjøre nå?

For å beskytte seg mot denne trusselen anbefaler eksperter:

• Sjekk versjonsnummeret på din Daemon Tools-installasjon. Hvis du har en av de berørte versjonene (12.5.0.2421–12.5.0.2434), bør du fjerne programmet umiddelbart.
• Last ned programvare kun fra offisielle kilder. Unngå tredjepartsnettsteder som tilbyr «oppdateringer» eller «crackede» versjoner.
• Kjør en full skanning med et oppdatert antivirusprogram for å avdekke eventuelle rester av skadevaren.
• Vær ekstra varsom med mistenkelig aktivitet på systemet, spesielt hvis du tilhører en av de berørte bransjene.

«Dette angrepet viser hvor sårbare vi er for supply-chain-trusler. Selv pålitelige leverandører kan bli kompromittert, og konsekvensene kan bli alvorlige.»
– Kaspersky, sikkerhetsforsker

Daemon Tools er fortsatt en av de mest populære løsningene for diskavbildninger, og angrepet understreker viktigheten av å holde programvare oppdatert og sikkerhetsrutiner strenge.