Softvér DAEMON Tools, ktorý si mnohí pamätajú ako obľúbený nástroj na vytváranie virtuálnych CD a DVD mechaník, sa nečakane ocitol v centre vážneho bezpečnostného incidentu. Hackeri totiž zneužili oficiálne inštalačné balíčky programu na šírenie škodlivého kódu, ktorý sa dostal do počítačov používateľov po celom svete.
Nebezpečné na celom prípade je najmä to, že nešlo o falošnú stránku, podvodný odkaz ani pirátsku verziu softvéru z pochybných fór. Infikované súbory boli dostupné priamo na oficiálnom webe vývojára, čo z útoku robí mimoriadne závažný prípad takzvaného supply chain útoku, teda napadnutia distribučného reťazca legitímneho softvéru. O téme informuje PCMag.
Malware bol ukrytý v legitímnom inštalátore
Ako ďalej informuje portál TechRadar, podľa bezpečnostných analytikov sa škodlivé verzie programu začali objavovať začiatkom apríla. Útočníci upravili viacero inštalátorov DAEMON Tools Lite, ktoré boli digitálne podpísané ako legitímny softvér. Navonok teda pôsobili úplne dôveryhodne a používateľ nemal prakticky žiadnu šancu spozorovať, že si do počítača inštaluje aj neželaného hosťa.
Po spustení inštalácie malware najskôr zhromažďoval informácie o zariadení, zisťoval názov počítača, MAC adresu, zoznam spustených procesov, nainštalovaný softvér či jazykové nastavenia systému. Tieto údaje následne odoslal útočníkom, ktorí rozhodli, či má zasiahnutý počítač pre nich väčšiu hodnotu.
Ak áno, nasledovala druhá fáza útoku. Do systému sa potichu nasadil backdoor, cez ktorý mohli hackeri na diaľku spúšťať príkazy, sťahovať ďalšie súbory alebo vykonávať škodlivý kód priamo v pamäti počítača.
Útok zasiahol viac než 100 krajín
Bezpečnostné firmy zaznamenali tisíce pokusov o infikovanie zariadení vo viac než stovke krajín. Hoci prvá fáza útoku zasiahla široké spektrum používateľov, druhá, výrazne nebezpečnejšia časť kampane bola nasadená len na malej skupine starostlivo vybraných cieľov.
Medzi nimi sa mali nachádzať organizácie z maloobchodu, výroby, vedeckého sektora aj štátnej správy, čo naznačuje, že nešlo len o masové šírenie škodlivého kódu, ale aj o cielenú operáciu.
Vyšetrovanie zároveň ukázalo indície, že za útokom môže stáť čínsky hovoriaca hackerská skupina, definitívne potvrdenie však zatiaľ neexistuje.
Spoločnosť stojaca za programom medzičasom potvrdila narušenie svojej infraštruktúry a uviedla, že všetky kompromitované inštalačné balíčky už odstránila. Firma zároveň vydala novú verziu DAEMON Tools Lite 12.6, ktorá by mala byť bezpečná a spustila interné preverovanie celého incidentu. Vyšetrovanie však stále pokračuje a presná cesta, ktorou sa útočníci dostali do systému zatiaľ známa nie je.
Čo robiť, ak máte DAEMON Tools
Ak si používateľ v posledných týždňoch nainštaloval DAEMON Tools Lite, je rozumné skontrolovať svoj počítač. Samotné odstránenie programu totiž nemusí problém vyriešiť, keďže škodlivý kód mohol v systéme zanechať ďalšie súbory alebo otvoriť zadné vrátka pre ďalší útok.
Najlepším krokom je spustiť dôkladnú antivírusovú kontrolu celého zariadenia pomocou overeného bezpečnostného softvéru. Ak sa objavia známky napadnutia systému alebo podozrivé správanie počítača, v krajnom prípade môže byť najistejším riešením čistá reinštalácia Windowsu.
Celý prípad zároveň ukazuje nepríjemný trend posledných rokov. Útočníci sa čoraz menej spoliehajú na primitívne phishingové maily či falošné weby a častejšie cielia priamo na legitímny softvér, aktualizácie a oficiálne distribučné kanály, teda miesta, ktorým používatelia bežne dôverujú.
