Фахівці з безпеки компанії Kaspersky заявили, що виявили шкідливий бекдор, вбудований у популярне програмне забезпечення для створення образів дисків під Windows – Daemon Tools.
Російська компанія з кібербезпеки повідомила у вівторок, що зібрані з комп’ютерів по всьому світу, на яких встановлено антивірус Kaspersky, дані свідчать про «широкомасштабну» атаку. Вона націлена на тисячі комп’ютерів з Windows, де використовується Daemon Tools.
Хакери, яких Kaspersky пов’язує з китайськомовною групою на основі аналізу шкідливого ПЗ, використали бекдор у Daemon Tools для встановлення додаткового malware на десяток комп’ютерів у роздрібній торгівлі, науковій та виробничій сферах, а також у державних структурах. У Kaspersky зазначають, що компрометація саме цих систем вказує на «цільовий» характер атаки.
За даними компанії, організації, які стали мішенню, розташовані в Росії, Білорусі та Таїланді.
Kaspersky повідомляє, що вперше бекдор було виявлено 8 квітня.
У компанії зазначили, що звернулися до Disc Soft, розробника Daemon Tools, але не уточнили, чи відповів розробник або вжив якихось заходів. Kaspersky стверджує, що атака на ланцюжок постачання «досі активна», що дає змогу зловмисникам і надалі встановлювати шкідливе ПЗ на тисячі комп’ютерів, де працює це програмне забезпечення для роботи з образами дисків.
Ця атака – ще один приклад так званих атак на ланцюжок постачання, що в останні місяці дедалі частіше націлені на розробників популярного софту. Хакери все активніше намагаються отримати доступ до акаунтів розробників, які працюють над широко використовуваними програмами й кодом, і зловживати цим доступом, щоб розповсюджувати шкідливий код серед усіх, хто покладається на ці продукти. Такий підхід дозволяє атакувальникам одночасно зламувати велику кількість комп’ютерів, коли їхній код потрапляє до користувачів у складі оновлення.
Раніше цього року пов’язані з урядом Китаю хакери скомпрометували популярний текстовий редактор Notepad++, щоб доставляти malware низці організацій, які мають інтереси у Східній Азії. Минулого місяця дослідники безпеки також попереджали про іншу атаку, спрямовану на користувачів, котрі відвідували сайт компанії CPUID, розробника популярних інструментів HWMonitor та CPU-Z.
Журналісти TechCrunch завантажили інсталятор Daemon Tools для Windows з офіційного сайту, і під час перевірки файлу через онлайн-сервіс сканування на віруси VirusTotal було виявлено наявність бекдору.
Поки невідомо, чи була скомпрометована версія Daemon Tools для macOS, а також чи зачеплена інша продукція Disc Soft.
У відповіді на запит про коментар представник Disc Soft заявив, що компанія «знає про цей звіт і наразі розслідує ситуацію».
«Наша команда ставиться до цього питання з найвищим пріоритетом і активно працює над оцінкою й усуненням проблеми. На цьому етапі ми не можемо підтвердити конкретні деталі, наведені у звіті. Втім, ми вживаємо всіх необхідних заходів, щоб усунути потенційні ризики та забезпечити безпеку наших користувачів», – зазначив представник компанії.