Kad službeni installer postane ulaz za napad: slučaj Daemon Tools
Supply-chain attacks are dangerous because they arrive through the door users already trust.📷 Generated editorial visual / Tech&Space
- ★Mjesec dana zaraženih ažuriranja
- ★Preko 100 zemalja pogođeno napadom
- ★Potencijalni gubitak povjerenja u službene kanale
Daemon Tools, softver koji desetljećima služi za mountanje disk-slika, postao je meta sofisticiranog napada na lanac opskrbe koji je trajao cijeli mjesec. Prema izvješću Ars Technice, zlonamjerni kod ubacivan je u službene verzije programa od 12.5.0.2421 do 12.5.0.2434, koje su distribuirane putem službenih kanala. Napadači su iskoristili povjerenje korisnika u digitalno potpisana ažuriranja, što je omogućilo neprimjetno širenje backdoor malwarea.
Napad je pogodio tisuće računala u preko 100 zemalja, a prema stručnjacima, izveden je s visokim stupnjem sofisticiranosti. "Na temelju našeg dugogodišnjeg iskustva u analizi napada na lance opskrbe, možemo zaključiti da su napadači orkestrirali kompromitaciju Daemon Toola na iznimno promišljen način", navodi se u istraživanju. Ova metoda napada postala je omiljena među cyberkriminalcima jer omogućuje masovno širenje uz minimalan rizik otkrivanja.
Mjesec dana kompromitiranog distribucijskog lanca pretvara običan installer u sigurnosni rizik.
The incident is less about one app than about the fragility of signed distribution.📷 Generated editorial visual / Tech&Space
Dodatni kontekst daje izvorni materijal, no za korisnike posljedice ovog incidenta mogu biti dalekosežne. Backdoor malware mogao je poslužiti za krađu podataka, daljinsko upravljanje zaraženim računalima ili čak širenje dodatnih zlonamjernih programa.
Budući da je napad trajao mjesec dana, postoji realna opasnost da su neki korisnici i dalje zaraženi, čak i nakon što su ažurirali softver na sigurniju verziju. Tvrtke i organizacije trebaju posebno paziti na ovaj incident jer napadi na lance opskrbe često ciljaju na veće sustave. Preporuka je da se provjere svi uređaji na kojima je bio instaliran Daemon Tools, posebno oni koji su ažurirani ili korišteni nakon 8. travnja.
Ovaj slučaj ponovno ističe koliko je važno redovito nadzirati mrežnu aktivnost i imati višeslojne sigurnosne mjere, čak i kada se radi o pouzdanim softverskim alatima. Napad na Daemon Tools nije izoliran slučaj. Slični incidenti dogodili su se s CCleanerom 2017., SolarWindsom 2020. i 3CX-om 2023., što ukazuje na trend koji će se vjerojatno nastaviti.
Za provjeru konteksta, korisno je usporediti Ars Technica, NIST technology work i IEEE Spectrum.
