Китайські хакери використовують Daemon Tools за допомогою Backdoor

Дослідники з кібербезпеки Kaspersky виявили складну кампанію атаки, під час якої ймовірні китайські хакери успішно встановили шкідливі бекдори в Daemon Tools, одну з найпоширеніших програм віртуалізації Windows. Розслідування, проведене охоронною фірмою, показало, що зловмисники поширювали зламані версії законного програмного забезпечення, що призвело до тисяч спроб зараження та щонайменше десятка підтверджених успішних компрометацій, які вплинули на користувачів, які несвідомо завантажили та встановили зіпсовані файли.

Це відкриття знаменує собою ще одну важливу главу в поточній боротьбі з атаками на ланцюги поставок, коли зловмисники націлюються на популярні програмні програми, щоб отримати несанкціонований доступ до жертв. Daemon Tools, який використовується мільйонами користувачів Windows для монтування образів віртуальних дисків і керування оптичними носіями, став ідеальним вектором для розповсюдження зловмисного програмного забезпечення в широких масштабах. Імплантат бекдора дозволив зловмисникам встановити постійний доступ до скомпрометованих комп’ютерів, потенційно сприяючи подальшій зловмисній діяльності та викраденню даних.

Згідно з технічним аналізом Касперського, спроби зараження продемонстрували скоординовану та добре забезпечену ресурсами інфраструктуру атаки. Зловмисники продемонстрували глибокі знання про механізми розповсюдження Daemon Tools і базу користувачів, що свідчить про те, що це була не опортуністична кампанія, а скоріше ретельно спланована операція, спрямована на певну демографічну групу користувачів. Той факт, що було підтверджено принаймні дванадцять успішних заражень, свідчить про те, що зловмисники досягли своєї мети – закріпитися в мережах кількох жертв.

Зловмисне програмне забезпечення для бекдорів, виявлене дослідниками Kaspersky, демонструє вдосконалені методи ухилення від виявлення традиційними антивірусними програмами та рішеннями для захисту кінцевих точок. Шкідливий код був кваліфіковано інтегрований у законний дистрибутив Daemon Tools, через що звичайним користувачам надзвичайно важко виявити компрометацію за допомогою візуального огляду або стандартного сканування безпеки. Такий рівень складності свідчить про те, що операцію проводила добре фінансована група загроз, яка мала доступ до передових ресурсів розробки та можливостей тестування безпеки.

Розслідування Kaspersky показало, що скомпрометовані версії програмного забезпечення поширювалися через канали, які дуже нагадували законні джерела завантажень, створюючи переконливий фасад, який міг би ввести в оману навіть тих користувачів, які помірно піклуються про безпеку. Зловмисники продемонстрували знання популярних сайтів для завантаження та методів розповсюдження, розмістивши свої шкідливі версії на видному місці, де нічого не підозрюють жертви, ймовірно, зустрінуть їх. Ця стратегія розповсюдження виявилася надзвичайно ефективною, про що свідчить значна кількість спроб зараження, виявлених охоронною фірмою.

Виявлення цієї атаки на ланцюг постачання має значні наслідки для безпеки програмного забезпечення та довіри користувачів до екосистеми програм. Користувачі Daemon Tools, які покладаються на програмне забезпечення для законних завдань віртуалізації, зіткнулися з несподіваним ризиком для безпеки, намагаючись використати те, що вони вважали справжнім програмним забезпеченням. Цей тип атаки підриває довіру до каналів розповсюдження програмного забезпечення та підкреслює зростаючу витонченість спонсорованих державою або пов’язаних із державою суб’єктів загроз, які діють у кіберпросторі.

Приписування китайським хакерам свідчить про те, що ця операція могла бути проведена спонсорованою державою групою, що діє під керівництвом або мовчазним схваленням урядових органів Китаю. Такі кампанії узгоджуються із задокументованою тактикою, яку використовують китайські передові стійкі групи загроз, які регулярно атакують іноземні організації, державні установи та технологічні компанії. Вибір широко використовуваної утиліти Windows як вектор атаки демонструє стратегічне мислення щодо максимізації впливу та впливу на різноманітні цільові мережі.

Дослідники безпеки Kaspersky наголосили на важливості перевірки автентичності програмного забезпечення перед встановленням і підтримкою оновлених рішень безпеки. Відкриття спонукало їх опублікувати докладні технічні індикатори компрометації, включаючи хеші файлів і мережеві підписи, щоб допомогти іншим фірмам безпеки та постраждалим користувачам ідентифікувати та усунути інфекції. Kaspersky також координував роботу з платформами розповсюдження програмного забезпечення, щоб запобігти подальшому розповсюдженню шкідливих версій, і працював з розробниками Daemon Tools, щоб дослідити, як сталися компрометації.

Кампанія атаки піднімає критичні питання щодо безпеки розробки програмного забезпечення та розповсюдження конвеєрів у все більш взаємопов’язаному технологічному середовищі. Навіть популярні, визнані видавці програмного забезпечення зі значними ресурсами стикаються з проблемами, захищаючись від рішучих супротивників із розширеними можливостями та ресурсами державного рівня. Тисячі спроб інфікування, задокументовані Касперським, підкреслюють масштаби, в яких можуть діяти сучасні кіберзлочинці та державні суб’єкти, потенційно впливаючи на користувачів на кількох континентах одночасно.

Організаціям, які покладаються на Daemon Tools, рекомендовано застосувати додаткові заходи безпеки та перевірити цілісність своїх установок. Касперський рекомендував постраждалим користувачам негайно видалити будь-які підозрілі версії програмного забезпечення та замінити їх свіжими копіями, отриманими безпосередньо з офіційного веб-сайту розробника. Для корпоративних клієнтів Kaspersky надав вказівки щодо виявлення ознак компрометації в їхній мережевій інфраструктурі та ізоляції уражених систем, щоб запобігти боковому переміщенню зловмисників.

Цей інцидент є прикладом еволюції кіберзагроз у сучасну епоху, коли зловмисники все частіше націлюються на широко розповсюджене програмне забезпечення, щоб досягти масового злому з мінімальним ризиком виявлення. Компрометуючи законну програму, якій довіряють мільйони користувачів, зловмисники можуть створити широку точку опори, з якої можна вибрати цільові цілі високої вартості для подальшої експлуатації. Цей підхід виявився набагато ефективнішим, ніж традиційні кампанії масового розповсюдження зловмисного програмного забезпечення, оскільки жертви вже мають високу довіру до скомпрометованої програми.

З нетерпінням чекаючи, це відкриття спонукало до поновлення дискусій у спільноті кібербезпеки про необхідність покращених заходів безпеки програмного забезпечення, зокрема вдосконалення підпису коду, перевірки каналів розповсюдження та моніторингу загроз у реальному часі. Великі технологічні компанії та постачальники засобів безпеки активно працюють над розробкою кращих механізмів перевірки автентичності програмного забезпечення та виявлення аномалій у ланцюжку розповсюдження, перш ніж воно досягне кінцевих користувачів. Інцидент з Daemon Tools, ймовірно, послужить каталізатором для посилення практик безпеки в усій галузі програмного забезпечення.

Детальне оприлюднення Касперським цієї кампанії атак демонструє прагнення охоронної фірми обмінюватися інформацією про загрози та захищати ширшу спільноту кібербезпеки. Опублікувавши технічні відомості та індикатори компрометації, Kaspersky дав змогу іншим фахівцям із безпеки ідентифікувати подібні шаблони атак і захиститися від копіювальних операцій, націлених на інші популярні програми. Цей спільний підхід представляє найкращі практики скоординованого розкриття вразливостей і реагування на інциденти на міжнародному рівні.