Бекдор Daemon Tools: місячна атака на ланцюг поставок

Значна атака на ланцюг постачання скомпрометувала Daemon Tools, одну з найпоширеніших програм для встановлення та керування образами дисків у системах Windows. Дослідники безпеки Kaspersky підтвердили, що популярне програмне забезпечення було піддано складній бекдор-атаці, яка почалася на початку квітня та продовжувала активно поширювати шкідливий код на момент розкриття. Це становить критичну загрозу для користувачів, які довіряли офіційним каналам розповсюдження програми, оскільки зламані інсталятори були підписані цифровим підписом законним сертифікатом розробника та розповсюджені через їх офіційний веб-сайт.

Атака, про яку Kaspersky вперше повідомив у вівторок, демонструє, як зловмисники можуть використовувати надійні механізми розповсюдження програмного забезпечення для масового поширення зловмисного програмного забезпечення. Зламані версії Daemon Tools, зокрема версії від 12.5.0.2421 до 12.5.0.2434, розроблено для автоматичного виконання шкідливого коду під час завантаження системи. Користувачі, які завантажували та встановлювали ці версії протягом ураженого періоду, отримували троянізовані виконувані файли, які виглядали легітимними завдяки належним цифровим підписам. Той факт, що зловмисне програмне забезпечення зберігається після перезапуску системи, особливо ускладнює його виявлення та видалення звичайним користувачам без спеціальних знань безпеки.

Згідно з технічним аналізом, наданим Kaspersky, зараження бекдором, здається, націлене виключно на операційні системи Windows, залишаючи користувачів macOS і Linux не зачепленими цією конкретною кампанією. Розробник AVB, відповідальний за Daemon Tools, поки не надав офіційних коментарів щодо масштабів компрометації та заходів реагування. Експерти з безпеки відзначили, що використання дійсних цифрових сертифікатів робить цей тип атак надзвичайно складним для захисту кінцевих користувачів, оскільки стандартні попередження безпеки та перевірки підтвердження проходять без підозри.

Початкове корисне навантаження зловмисного програмного забезпечення, що міститься в інфікованих версіях, виконує широку розвідку системи, збираючи конфіденційну інформацію, яка надає зловмисникам цінні дані розвідки. Шкідливий код збирає MAC-адреси, імена хостів системи, імена доменів DNS, списки запущених процесів, інвентаризацію встановленого програмного забезпечення та налаштування локалі системи. Потім ця інформація передається на керовані зловмисниками командні та контрольні сервери, що дозволяє суб’єктам загрози створювати детальний профіль кожної зараженої системи та її середовища. Етап збору даних є типовою ранньою стадією складних цілеспрямованих атак, коли зловмисники оцінюють, які системи вимагають подальшої експлуатації.

Масштаб цього інциденту безпеки є значним, Касперський задокументував, що тисячі машин у понад 100 країнах були заражені через скомпрометовані оновлення Daemon Tools. Це глобальне поширення підкреслює охоплення та вплив атак на ланцюги поставок, які використовують законні канали розповсюдження програмного забезпечення. Широко розповсюджений характер початкового зараження, що вражає тисячі систем, демонструє, наскільки ефективним може бути цей вектор атаки, якщо націлюватися на популярні програми з великою базою користувачів.

Однак атака, схоже, дотримується стратегії вибіркового націлювання, коли зловмисники ретельно вибирають, які заражені системи отримують додаткові зловмисні навантаження. З тисяч машин, спочатку скомпрометованих розвідувальним зловмисним програмним забезпеченням, лише приблизно 12 систем було підвищено для отримання подальших корисних навантажень, що містять більш складне або цільове зловмисне програмне забезпечення. Ці вибрані цілі належать організаціям роздрібної торгівлі, науки, уряду та виробництва, що вказує на те, що зловмисники переслідують конкретні цілі проти певних галузей чи організацій. Ця допоміжна фаза націлювання переконливо свідчить про те, що це цільова кампанія в ланцюжку постачання, а не невибіркове розповсюдження зловмисного програмного забезпечення.

Методологія, використана зловмисниками, демонструє глибоке розуміння того, як ефективно використовувати ланцюжки поставок програмного забезпечення. Зламавши офіційний канал розповсюдження та зберігаючи дійсні цифрові підписи, зловмисники обійшли багато традиційних заходів безпеки, на які організації покладаються для захисту від зловмисного програмного забезпечення. Користувачі, які дотримуються найкращих практик, наприклад, завантажують програмне забезпечення лише з офіційних джерел і перевіряють цифрові підписи, все одно були б заражені цією кампанією, що робить її особливо підступною формою атаки, яка використовує довірчі відносини між розробниками програмного забезпечення та їхніми користувачами.

Дослідники безпеки наголошують, що цей інцидент підкреслює критичну важливість прозорості програмного забезпечення та швидкого зв’язку з розробниками, коли виявляються порушення ланцюга постачання. Триваюче активне розповсюдження шкідливих оновлень на момент розкриття Касперського свідчить про те, що атака залишалася непоміченою протягом тривалого періоду, протягом якого могли бути скомпрометовані тисячі додаткових користувачів. Ця хронологія піднімає важливі питання про те, як довго інфраструктура розробника залишалася під контролем зловмисників і до яких додаткових систем міг отримати доступ протягом місячної кампанії.

Наслідки цього компрометування Daemon Tools поширюються не лише на окремих користувачів, а й на корпоративні середовища, де програмне забезпечення зазвичай використовується для системного адміністрування, тестування та розробки. Організаціям, які використовують Daemon Tools у своїй інфраструктурі, може знадобитися провести комплексний аудит системи, щоб визначити, які машини були скомпрометовані протягом періоду відповідної версії. Розвідувальні дані, зібрані початковим корисним навантаженням, можуть надати зловмисникам цінні відомості про корпоративні мережі, що потенційно призведе до подальших вторгнень або викрадення даних.

Виявлення та розкриття цієї атаки компанією Kaspersky є важливою послугою для ширшої спільноти безпеки, оскільки вона попереджає користувачів і організації про загрозу та надає технічні відомості, які допомагають командам безпеки ідентифікувати уражені системи. Аналіз охоронної фірми надає криміналістичні докази того, як була здійснена атака та які показники організації можуть шукати, щоб визначити, чи їхні системи були скомпрометовані. Проте той факт, що ні з Kaspersky, ні з розробником не вдалося негайно зв’язатися для отримання додаткових деталей, викликає занепокоєння щодо координації та зв’язку під час активних інцидентів безпеки.

Користувачам Daemon Tools слід негайно перевірити встановлену версію та оновити її до останньої виправленої версії, якщо вони встановили будь-яку версію між 12.5.0.2421 і 12.5.0.2434. Організаціям також слід проводити сканування системи за допомогою оновлених антивірусних програм і засобів виявлення кінцевих точок, шукаючи ознаки зловмисного програмного забезпечення або будь-яких підозрілих вихідних з’єднань із серверами керування та керування. Процес реагування на інцидент може вимагати більше, ніж просто оновлення програмного забезпечення, оскільки системи, які отримали подальші корисні навантаження, можуть мати додаткові бекдори або механізми постійного доступу, які потребують спеціального судового дослідження та виправлення.

Ця атака на ланцюжок поставок служить протверезним нагадуванням про розвиток загроз, з якими стикаються користувачі програмного забезпечення та організації по всьому світу. Витончене використання законних каналів розповсюдження та дійсних цифрових сертифікатів демонструє, що зловмисники продовжують знаходити інноваційні способи скомпрометувати системи, незважаючи на традиційні заходи безпеки. Оскільки ланцюжки постачання програмного забезпечення стають дедалі складнішими та взаємопов’язаними, потенційний вплив таких атак зростає, тому як розробникам, так і користувачам важливо зберігати пильність і впроваджувати багаторівневі стратегії безпеки, які можуть виявляти скомпрометоване програмне забезпечення та реагувати на нього до того, як станеться масштабна шкода.