Daemon Tools Backdoor: attacco alla catena di fornitura della durata di un mese

Un significativo attacco alla catena di fornitura ha compromesso Daemon Tools, una delle applicazioni più utilizzate per il montaggio e la gestione delle immagini disco sui sistemi Windows. I ricercatori di sicurezza di Kaspersky hanno confermato che il popolare software è stato sottoposto a un sofisticato attacco backdoor iniziato all'inizio di aprile e che continuava a distribuire attivamente codice dannoso al momento della divulgazione. Ciò rappresenta una minaccia critica per gli utenti che si fidavano dei canali di distribuzione ufficiali dell'applicazione, poiché i programmi di installazione compromessi erano firmati digitalmente con il certificato legittimo dello sviluppatore e distribuiti tramite il loro sito Web ufficiale.

L'attacco, che Kaspersky ha segnalato per la prima volta martedì, dimostra come gli autori delle minacce possano sfruttare meccanismi affidabili di distribuzione del software per distribuire malware su larga scala. Le versioni compromesse di Daemon Tools, in particolare le versioni da 12.5.0.2421 a 12.5.0.2434, sono state progettate per eseguire automaticamente codice dannoso all'avvio del sistema. Gli utenti che hanno scaricato e installato queste versioni durante il periodo di tempo interessato hanno ricevuto file eseguibili contenenti trojan che sembravano legittimi grazie alle firme digitali corrette. Il fatto che il malware persista anche dopo il riavvio del sistema rende particolarmente difficile il rilevamento e la rimozione da parte degli utenti occasionali senza una conoscenza specializzata della sicurezza.

Secondo l'analisi tecnica fornita da Kaspersky, l'infezione backdoor sembra prendere di mira esclusivamente i sistemi operativi Windows, lasciando gli utenti macOS e Linux non interessati da questa particolare campagna. Lo sviluppatore AVB, responsabile di Daemon Tools, non ha ancora fornito commenti ufficiali sulla portata del compromesso o sulle misure di risposta. Gli esperti di sicurezza hanno notato che l'uso di certificati digitali validi rende estremamente difficile difendersi da questo tipo di attacco per gli utenti finali, poiché gli avvisi di sicurezza standard e i controlli di convalida vengono superati senza destare sospetti.

Il payload malware iniziale contenuto nelle versioni infette esegue un'ampia ricognizione del sistema, raccogliendo informazioni sensibili che forniscono agli aggressori preziosi dati di ricognizione. Il codice dannoso raccoglie indirizzi MAC, nomi host di sistema, nomi di dominio DNS, elenchi di processi in esecuzione, inventari di software installato e impostazioni locali del sistema. Queste informazioni vengono quindi trasmesse ai server di comando e controllo controllati dagli aggressori, consentendo agli autori delle minacce di creare un profilo dettagliato di ciascun sistema infetto e del suo ambiente. La fase di raccolta dei dati rappresenta una tipica fase iniziale di attacchi mirati sofisticati, in cui gli aggressori valutano quali sistemi giustificano un ulteriore sfruttamento.

La portata di questo incidente di sicurezza è notevole, con Kaspersky che documenta che migliaia di macchine in più di 100 paesi sono state infettate attraverso gli aggiornamenti compromessi di Daemon Tools. Questa distribuzione globale sottolinea la portata e l’impatto degli attacchi alla catena di fornitura che sfruttano canali di distribuzione software legittimi. La natura diffusa dell'infezione iniziale, che colpisce migliaia di sistemi, dimostra quanto efficace possa essere questo vettore di attacco quando si prendono di mira applicazioni popolari con ampie basi di utenti.

Tuttavia, l'attacco sembra seguire una strategia di targeting selettivo, in cui gli aggressori scelgono attentamente quali sistemi infetti ricevono ulteriori payload dannosi. Delle migliaia di macchine inizialmente compromesse dal malware da ricognizione, solo circa 12 sistemi sono stati potenziati per ricevere payload successivi contenenti malware più sofisticati o mirati. Questi obiettivi selezionati appartengono a organizzazioni dei settori della vendita al dettaglio, scientifico, governativo e manifatturiero, indicando che gli aggressori perseguono obiettivi specifici contro particolari industrie o organizzazioni. Questa fase di targeting secondario suggerisce fortemente che si tratti di una campagna mirata sulla catena di fornitura piuttosto che di una distribuzione indiscriminata di malware.

La metodologia utilizzata dagli aggressori rivela una comprensione sofisticata di come sfruttare in modo efficace le catene di fornitura del software. Compromettendo il canale di distribuzione ufficiale e mantenendo firme digitali valide, gli autori delle minacce hanno aggirato molti controlli di sicurezza tradizionali su cui le organizzazioni fanno affidamento per proteggersi dal malware. Gli utenti che seguono le migliori pratiche, come scaricare software solo da fonti ufficiali e verificare le firme digitali, sarebbero comunque stati infettati da questa campagna, rendendola una forma di attacco particolarmente insidiosa che sfrutta il rapporto di fiducia tra gli sviluppatori di software e i loro utenti.

I ricercatori nel campo della sicurezza sottolineano che questo incidente evidenzia l'importanza fondamentale della trasparenza del software e della comunicazione rapida da parte degli sviluppatori quando vengono scoperti compromessi nella catena di approvvigionamento. La continua distribuzione attiva di aggiornamenti dannosi al momento della divulgazione da parte di Kaspersky suggerisce che l'attacco è rimasto inosservato per un periodo prolungato, durante il quale migliaia di altri utenti avrebbero potuto essere compromessi. Questa sequenza temporale solleva importanti domande su quanto tempo l'infrastruttura dello sviluppatore è rimasta sotto il controllo degli aggressori e a quali sistemi aggiuntivi potrebbe essere stato effettuato l'accesso durante la campagna durata un mese.

Le implicazioni di questa compromissione di Daemon Tools si estendono oltre i singoli utenti fino agli ambienti aziendali in cui il software viene comunemente utilizzato per scopi di amministrazione, test e sviluppo del sistema. Le organizzazioni che eseguono Daemon Tools nella propria infrastruttura potrebbero dover condurre controlli di sistema completi per identificare quali macchine sono state compromesse durante il periodo di tempo della versione interessata. I dati di ricognizione raccolti dal payload iniziale potrebbero fornire agli aggressori informazioni preziose sulle reti aziendali, portando potenzialmente a ulteriori intrusioni o furti di dati.

La scoperta e la divulgazione di questo attacco da parte di Kaspersky rappresenta un servizio importante per la più ampia comunità di sicurezza, poiché avvisa gli utenti e le organizzazioni della minaccia e fornisce dettagli tecnici che aiutano i team di sicurezza a identificare i sistemi interessati. L'analisi dell'azienda di sicurezza fornisce prove forensi di come è stato condotto l'attacco e quali indicatori possono cercare le organizzazioni per determinare se i loro sistemi sono stati compromessi. Tuttavia, il fatto che né Kaspersky né lo sviluppatore possano essere contattati immediatamente per ulteriori dettagli solleva preoccupazioni sul coordinamento e sulla comunicazione durante gli incidenti di sicurezza attivi.

Gli utenti di Daemon Tools dovrebbero verificare immediatamente la versione installata e aggiornarla all'ultima versione con patch se hanno installato una versione compresa tra 12.5.0.2421 e 12.5.0.2434. Le organizzazioni dovrebbero inoltre condurre scansioni del sistema utilizzando strumenti antivirus e di rilevamento degli endpoint aggiornati, alla ricerca di segni di malware o di eventuali connessioni sospette in uscita ai server di comando e controllo. Il processo di risposta all'incidente potrebbe richiedere qualcosa di più del semplice aggiornamento del software, poiché i sistemi che hanno ricevuto payload successivi potrebbero avere backdoor aggiuntive o meccanismi di accesso persistente installati che richiedono indagini e soluzioni forensi specializzate.

Questo attacco alla catena di fornitura serve a ricordare che il panorama delle minacce in continua evoluzione si trova ad affrontare gli utenti e le organizzazioni di software in tutto il mondo. Lo sfruttamento sofisticato di canali di distribuzione legittimi e di certificati digitali validi dimostra che gli aggressori continuano a trovare modi innovativi per compromettere i sistemi nonostante i tradizionali controlli di sicurezza. Man mano che le catene di fornitura del software diventano sempre più complesse e interconnesse, l'impatto potenziale di tali attacchi aumenta, rendendo essenziale sia per gli sviluppatori che per gli utenti mantenere la vigilanza e implementare strategie di sicurezza a più livelli in grado di rilevare e rispondere al software compromesso prima che si verifichino danni diffusi.