Бэкдор Daemon Tools: атака на цепочку поставок длиной в месяц

Серьезная атака через цепочку поставок скомпрометировала Daemon Tools, одно из наиболее широко используемых приложений для монтирования образов дисков и управления ими в системах Windows. Исследователи безопасности из «Лаборатории Касперского» подтвердили, что популярное программное обеспечение подверглось сложной бэкдор-атаке, которая началась в начале апреля и продолжала активно распространять вредоносный код на момент раскрытия. Это представляет собой критическую угрозу для пользователей, которые доверяли официальным каналам распространения приложения, поскольку скомпрометированные установщики имели цифровую подпись с законным сертификатом разработчика и распространялись через их официальный сайт.

Атака, о которой Касперский впервые сообщил во вторник, демонстрирует, как злоумышленники могут использовать надежные механизмы распространения программного обеспечения для доставки вредоносного ПО в больших масштабах. Скомпрометированные версии Daemon Tools, в частности версии с 12.5.0.2421 по 12.5.0.2434, были разработаны для автоматического выполнения вредоносного кода во время загрузки системы. Пользователи, загрузившие и установившие эти версии в течение рассматриваемого периода, получили зараженные троянами исполняемые файлы, которые выглядели законными благодаря соответствующим цифровым подписям. Тот факт, что вредоносное ПО сохраняется после перезагрузки системы, особенно затрудняет его обнаружение и удаление обычными пользователями без специальных знаний в области безопасности.

Согласно техническому анализу, предоставленному Касперским, заражение через черный ход, по-видимому, нацелено исключительно на операционные системы Windows, в результате чего эта конкретная кампания не затрагивает пользователей macOS и Linux. Разработчик AVB, ответственный за Daemon Tools, пока не предоставил официального комментария о масштабах компрометации и мерах реагирования. Эксперты по безопасности отметили, что использование действительных цифровых сертификатов чрезвычайно затрудняет защиту от такого типа атак для конечных пользователей, поскольку стандартные предупреждения безопасности и проверки проходят, не вызывая подозрений.

Первоначальная полезная нагрузка вредоносного ПО, содержащаяся в зараженных версиях, выполняет обширную проверку системы, собирая конфиденциальную информацию, которая предоставляет злоумышленникам ценные разведывательные данные. Вредоносный код собирает MAC-адреса, имена хостов системы, имена доменов DNS, списки запущенных процессов, реестры установленного программного обеспечения и региональные настройки системы. Затем эта информация передается на серверы управления и контроля, контролируемые злоумышленниками, что позволяет злоумышленникам создать подробный профиль каждой зараженной системы и ее среды. Фаза сбора данных представляет собой типичную раннюю стадию сложных целевых атак, на которой злоумышленники оценивают, какие системы заслуживают дальнейшей эксплуатации.

Масштаб этого инцидента безопасности значителен: Касперский документально подтвердил, что тысячи компьютеров в более чем 100 странах были заражены через скомпрометированные обновления Daemon Tools. Такое глобальное распространение подчеркивает масштабы и последствия атак на цепочки поставок, которые используют законные каналы распространения программного обеспечения. Широко распространенный характер первоначального заражения, затрагивающего тысячи систем, демонстрирует, насколько эффективным может быть этот вектор атаки при атаке на популярные приложения с большой базой пользователей.

Однако атака, судя по всему, использует стратегию выборочного таргетинга: злоумышленники тщательно выбирают, какие зараженные системы получат дополнительные вредоносные полезные данные. Из тысяч машин, первоначально скомпрометированных вредоносным ПО-разведчиком, только около 12 систем были повышены для получения последующих полезных нагрузок, содержащих более сложное или целевое вредоносное ПО. Эти выбранные цели принадлежат организациям в розничном, научном, государственном и производственном секторах, что указывает на то, что злоумышленники преследуют конкретные цели против определенных отраслей или организаций. Этот этап вторичного таргетинга убедительно свидетельствует о том, что это целевая кампания по цепочке поставок, а не неизбирательное распространение вредоносного ПО.

Методология, использованная злоумышленниками, демонстрирует глубокое понимание того, как эффективно использовать цепочки поставок программного обеспечения. Компрометировав официальный канал распространения и сохранив действительные цифровые подписи, злоумышленники обошли многие традиционные меры безопасности, на которые полагаются организации для защиты от вредоносного ПО. Пользователи, следующие лучшим практикам, такие как загрузка программного обеспечения только из официальных источников и проверка цифровых подписей, все равно были бы заражены этой кампанией, что делает ее особенно коварной формой атаки, использующей доверительные отношения между разработчиками программного обеспечения и их пользователями.

Исследователи в области безопасности подчеркивают, что этот инцидент подчеркивает исключительную важность прозрачности программного обеспечения и быстрой связи с разработчиками при обнаружении нарушений в цепочке поставок. Продолжающееся активное распространение вредоносных обновлений на момент раскрытия информации Касперским позволяет предположить, что атака оставалась незамеченной в течение длительного периода, в течение которого могли быть скомпрометированы тысячи дополнительных пользователей. Этот график поднимает важные вопросы о том, как долго инфраструктура разработчика оставалась под контролем злоумышленников и к каким дополнительным системам мог быть получен доступ в течение месячной кампании.

Последствия этой компрометации Daemon Tools распространяются не только на отдельных пользователей, но и на корпоративные среды, где программное обеспечение обычно используется для системного администрирования, тестирования и разработки. Организациям, использующим Daemon Tools в своей инфраструктуре, возможно, потребуется провести комплексный системный аудит, чтобы определить, какие машины были скомпрометированы в течение периода действия затронутой версии. Разведывательные данные, собранные исходной полезной нагрузкой, могут предоставить злоумышленникам ценную информацию о корпоративных сетях, что потенциально может привести к дальнейшим вторжениям или краже данных.

Обнаружение и раскрытие Касперским этой атаки представляет собой важную услугу для более широкого сообщества безопасности, поскольку оно предупреждает пользователей и организации об угрозе и предоставляет технические подробности, которые помогают группам безопасности идентифицировать затронутые системы. Анализ, проведенный охранной фирмой, предоставляет судебно-медицинские доказательства того, как была проведена атака, и какие индикаторы организации могут использовать, чтобы определить, были ли их системы скомпрометированы. Однако тот факт, что ни с Касперским, ни с разработчиком не удалось немедленно связаться для получения дополнительных подробностей, вызывает опасения по поводу координации и связи во время активных инцидентов безопасности.

Пользователям Daemon Tools следует немедленно проверить установленную версию и обновить ее до последней исправленной версии, если они установили любую версию между 12.5.0.2421 и 12.5.0.2434. Организациям также следует проводить сканирование системы с использованием обновленных антивирусных средств и средств обнаружения конечных точек в поисках признаков вредоносного ПО или любых подозрительных исходящих подключений к серверам управления и контроля. Процесс реакции на инцидент может потребовать чего-то большего, чем просто обновление программного обеспечения, поскольку в системах, получивших последующие полезные данные, могут быть установлены дополнительные бэкдоры или механизмы постоянного доступа, требующие специального криминалистического расследования и исправления.

Эта атака на цепочку поставок служит отрезвляющим напоминанием об меняющемся ландшафте угроз, с которым сталкиваются пользователи программного обеспечения и организации по всему миру. Сложная эксплуатация законных каналов распространения и действительных цифровых сертификатов показывает, что злоумышленники продолжают находить инновационные способы взлома систем, несмотря на традиционные меры безопасности. Поскольку цепочки поставок программного обеспечения становятся все более сложными и взаимосвязанными, потенциальные последствия таких атак растут, поэтому разработчикам и пользователям крайне важно сохранять бдительность и внедрять многоуровневые стратегии безопасности, которые могут обнаруживать скомпрометированное программное обеспечение и реагировать на него до того, как произойдет масштабный ущерб.