Utilizatorii Daemon Tools, o aplicație des utilizată pentru montarea imaginilor de disc, sunt sfătuiți să își verifice computerele pentru infecții ascunse, după ce un atac cibernetic prelungit a compromis software-ul.
Conform cercetătorilor de la Kaspersky, care au raportat incidentul marți, atacul a început pe 8 aprilie și a fost activ până în momentul publicării informațiilor. Instalatoarele, certificate digital de dezvoltator și descărcate de pe site-ul oficial, au infectat executabilele Daemon Tools, făcând ca malware-ul să fie activat la pornirea sistemului. Deși Kaspersky nu a specificat explicit, detaliile tehnice sugerează că versiunile infectate sunt cele compatibile doar cu Windows, mai precis versiunile de la 12.5.0.2421 la 12.5.0.2434.
Versiunile afectate conțin un payload inițial care colectează adrese MAC, nume de gazdă, nume de domenii DNS, procese în execuție, software instalat și setările regionale ale sistemului. Malware-ul trimite aceste date către un server controlat de atacatori. Mii de mașini din peste 100 de țări au fost vizate. Din numărul mare de mașini infectate, aproximativ 12, aparținând organizațiilor din domeniile retail, științific, guvernamental și de producție, au primit un payload secundar, indicând că atacul vizează grupuri selecte.
Incidentul se alătură unei serii de atacuri asupra lanțului de aprovizionare, printre care contaminarea utilitarului CCleaner pentru Windows în 2017, software-ul de gestionare a aplicațiilor Solar Winds pentru întreprinderi în 2020 și clientul VoIP 3CX în 2023. Asemenea atacuri sunt dificil de contracarat deoarece utilizatorii se infectează pur și simplu instalând actualizări semnate digital disponibile prin canale oficiale. În toate cele trei cazuri, a durat săptămâni sau luni până când canalele de distribuție compromise au fost descoperite.
„Bazându-ne pe experiența noastră îndelungată în analiza atacurilor asupra lanțului de aprovizionare, putem concluziona că atacatorii au orchestrat compromiterea DAEMON Tools într-un mod foarte sofisticat,” au scris cercetătorii Kaspersky. „De exemplu, timpul necesar pentru detectarea acestui atac, care s-a dovedit a fi de aproximativ o lună, este comparabil cu atacul asupra lanțului de aprovizionare 3CX, pe care l-am analizat împreună cu comunitatea de securitate cibernetică în 2023. Dată fiind complexitatea ridicată a atacului, este esențial ca organizațiile să examineze cu atenție mașinile care au avut instalat DAEMON Tools, pentru activități anormale legate de securitatea cibernetică care au avut loc înainte sau după 8 aprilie.”
Unul dintre payload-urile secundare, împins către aproximativ o duzină de organizații, a fost descris de Kaspersky ca fiind un „backdoor minimalist”. Acesta are capacitatea de a executa comenzi, descărca fișiere și rula payload-uri shellcode în memorie, făcând infecția mai greu de detectat.
Kaspersky a observat de asemenea un backdoor mai complex, denumit QUIC RAT, instalat pe o singură mașină aparținând unei instituții educaționale din Rusia.
Sursa: Ars Tehnica Technology
Poll: Care dintre următoarele măsuri de securitate cibernetică considerați că ar trebui implementate pentru a preveni atacurile asupra lanțului de aprovizionare?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply