Kaspersky descoperă un backdoor în Daemon Tools, atribuit unor hackeri chinezi, într-un atac pe scară largă asupra utilizatorilor Windows

Cercetători în securitate cibernetică de la Kaspersky anunță că au identificat un backdoor malițios introdus în cunoscutul și vechiul software de imagini de disc pentru Windows, Daemon Tools.

Compania de securitate cibernetică din Rusia a precizat marți că datele colectate de pe computere din întreaga lume pe care rulează software-ul antivirus Kaspersky arată că este în desfășurare un atac „pe scară largă”, care vizează mii de computere cu Windows pe care este instalat Daemon Tools.

Atacatorii, pe care Kaspersky i-a asociat cu un grup vorbitor de limba chineză, în urma analizei malware-ului, au folosit backdoor-ul din Daemon Tools pentru a instala programe malițioase suplimentare pe o duzină de computere din sectoarele de retail, științific și de producție, precum și pe sisteme guvernamentale. Kaspersky a subliniat că compromiterea acestor sisteme specifice indică o operațiune „țintită”.

Compania a menționat că organizațiile vizate se află în Rusia, Belarus și Thailanda.

Potrivit Kaspersky, backdoor-ul a fost detectat pentru prima dată pe 8 aprilie.

Compania a anunțat că a contactat Disc Soft, firma care dezvoltă și menține Daemon Tools. Însă nu a precizat dacă dezvoltatorul a răspuns sau a întreprins deja măsuri concrete. Kaspersky susține că atacul asupra lanțului de aprovizionare este „încă activ”, ceea ce sugerează că hackerii pot continua să instaleze malware pe mii de computere care rulează acest software de imagini de disc.

Acest incident se înscrie într-o serie de atacuri de tip „supply chain” din ultimele luni, care au avut drept țintă dezvoltatori de software popular. Tot mai des, hackerii vizează conturile programatorilor care lucrează la cod sau aplicații utilizate pe scară largă. Apoi abuzează de acest acces pentru a introduce cod malițios în produsele software de care depind numeroși utilizatori. Prin această metodă, atacatorii pot compromite simultan un număr foarte mare de computere, atunci când codul malițios este livrat sub forma unei actualizări de software.

La începutul acestui an, hackeri asociați cu guvernul chinez au deturnat popularul editor de text Notepad++ pentru a livra malware către mai multe organizații cu interese în Asia de Est. În plus, cercetători în securitate au avertizat luna trecută cu privire la un alt atac ce viza utilizatorii care accesau site-ul CPUID, compania care dezvoltă binecunoscutele instrumente HWMonitor și CPU-Z.

TechCrunch a descărcat fișierul de instalare pentru Windows de pe site-ul Daemon Tools, iar acest fișier părea să conțină backdoor-ul atunci când a fost verificat cu serviciul online de scanare malware VirusTotal.

Nu se știe dacă versiunea de macOS a Daemon Tools a fost compromisă sau dacă și alte aplicații dezvoltate de Disc Soft au fost afectate.

Întrebată pentru un punct de vedere, o persoană care reprezintă Disc Soft a declarat că firma este „aware of the report and are currently investigating the situation.”

„Our team is treating this matter with the highest priority and is actively working to assess and address the issue. At this stage, we are not in a position to confirm specific details referenced in the report. However, we are taking all necessary steps to remediate any potential risks and to ensure the security of our users,” a mai spus reprezentantul Disc Soft.