Ключевые выводы
- В начале апреля Kaspersky обнаружил бэкдор, встроенный в официальную установку Daemon Tools для Windows.
- Атака относится к типу «цепочки поставок» и продолжается: злоумышленники могут заразить новые компьютеры при каждом обновлении программы.
- Заражённые машины находятся в России, Беларуси и Таиланде; жертвы включают розничные, научные, производственные и правительственные организации.
Сейчас, когда большинство программ обновляется автоматически, любая компрометация поставщика может мгновенно затронуть тысячи пользователей. Мы расскажем, как именно работает эта конкретная атака, какие последствия уже наблюдаются и что можно сделать, чтобы минимизировать риск.
Что случилось с Daemon Tools? — по фактам
9 март 2024 года исследователи Kaspersky объявили, что в официальном дистрибутиве популярного дискового имиджера Daemon Tools для Windows находится скрытый бэкдор. По их словам, первый образец был замечен 8 апреля, а собранные данные от пользователей Kaspersky по всему миру показывают «широкое» распространение.
Бэкдор позволяет хакерам удалённо загружать и исполнять произвольный код. После установки первой части вредоносного ПО они использовали её, чтобы «подсели» дополнительные загрузчики на более чем десяток машин в секторах розничной торговли, науки, производства и даже в государственных учреждениях.
Анализ кода показал, что злоумышленники говорят на китайском языке, что дало Kaspersky повод связать их с известными группами, действующими в Китае. Тем не менее, основной фокус атаки был на странах‑пользователях Daemon Tools — России, Беларуси и Таиланде.
Разработчик программы, компания Disc Soft, была уведомлена о проблеме, но официальный комментарий ограничивается заявлением о том, что они «рассматривают ситуацию как приоритетную». На данный момент неизвестно, исправлен ли бэкдор в новых версиях и как быстро пользователи получили патч.
Как работает «аттака цепочки поставок»?
Термин «цепочка поставок» описывает ситуацию, когда злоумышленник проникает в процесс создания или распространения легитимного программного обеспечения. Вместо того чтобы напрямую заражать отдельные ПК, они модифицируют исходный код или установочный пакет, а затем распространяют его через официальные каналы.
В случае Daemon Tools процесс выглядел так:
- Хакеры получили доступ к инфраструктуре сборки или к учетным данным разработчиков.
- В официальный установщик Windows‑версии внедрили малый модуль‑бэкдор.
- При запуске программы бэкдор устанавливал соединение с командным сервером и получал дальнейшие загрузчики.
- Эти загрузчики уже доставляли полноценные трояны, позволяющие кражу данных, шпионаж и дальнейшее распространение.
Поскольку Daemon Tools часто обновляется автоматически, каждый пользователь, который не проверил подпись или не использовал дополнительный антивирус, получил заражение без своего ведома.
Кто уже пострадал?
Kaspersky проследила заражения на более чем тысячу ПК, но только несколько десятков были подтверждены как «тщательно нацеленные» — то есть хакеры явно выбирали конкретные организации. Среди жертв:
- Розничные сети в России, использующие Daemon Tools для создания образов инвентаря.
- Научно‑исследовательские лаборатории, где имиджеры применяются для тестирования программного обеспечения.
- Производственные предприятия, где образы дисков нужны для восстановления систем.
- Государственные учреждения, в том числе региональные ИТ‑департаменты.
Только в России, Беларуси и Таиланде уже зафиксированы случаи компрометации, но из‑за характера цепочки поставок потенциальный диапазон затронутых стран может быть шире.
Сравнение с другими недавними атаками цепочки поставок
Последние месяцы принесли несколько громких примеров:
- В начале 2024 г. китайские хакеры перехватили обновления популярного текстового редактора Notepad++. В результате туда была добавлена вредоносная DLL, которая шла в обход большинства антивирусов.
- В апреле 2024 г. был взломан сайт CPUID, где пользователи скачивали HWMonitor и CPU‑Z. Сайт подменил загрузки и раздистрибуировал троян, ориентированный на тех, кто регулярно мониторит оборудование.
Все эти случаи показывают, что злоумышленникам всё быстрее и легче «подсадить» вредоносный код в легитимные обновления. Главное сходство — они используют доверие к бренду и автоматическое обновление как канал распространения.
Что делать пользователям Daemon Tools?
Если вы используете Daemon Tools на Windows, рекомендуем следующие шаги:
- Проверьте текущую версию установленного продукта. Последняя безопасная версия, по данным Kaspersky, вышла после 15 апреля 2024 г.
- Скачайте инсталлятор только с официального сайта disc-soft.ru и проверьте его хеш‑сумму, опубликованную в разделе «Контрольные суммы». При возможности используйте подписи Authenticode.
- Запустите полное сканирование системы антивирусом с актуальными базами. Kaspersky, ESET и Bitdefender уже включили сигнатуру этого бэкдора в свои обновления.
- Отключите автозапуск и автоматическое обновление Daemon Tools, если вам это не критично, и обновляйте вручную после проверки.
- Если ваш компьютер принадлежит к корпоративной сети, сообщите об инциденте ИТ‑службе, чтобы они смогли проверить логи и при необходимости изолировать заражённые машины.
Помните, что даже если вы не используете Daemon Tools сейчас, любой другой софт, получаемый из официальных источников, может стать вектором атаки. Регулярные обновления антивирусных баз и проверка подписи файлов — базовые, но эффективные меры.
Перспективы и дальнейшее развитие угрозы
Пока Disc Soft не объявила о выпуске патча, Kaspersky считает, что атака «ещё активна». Это значит, что новые загрузчики могут появиться в ближайшие недели. По мере того как исследователи будут раскрывать детали команд‑и‑контроля, вероятно, появятся дополнительные рекомендации по блокировке сетевых адресов злоумышленников.
С учётом того, что в мире растёт число атак на поставщиков ПО, предприятиям следует пересмотреть политику доверия к «лучшим» поставщикам и внедрять «двойную проверку» (например, использовать репутационный сервис для файлов). Инвестировать в системы защиты от целевых атак (EDR) и обучение персонала тоже будет оправдано.
Справка
Kaspersky Lab — российская компания, основанная в 1997 году Алексом Касперским. Специализируется на антивирусных решениях, исследовании киберугроз и разработке корпоративных систем защиты. За годы работы компания выявила более 200 000 новых образцов вредоносного кода и регулярно публикует отчёты о глобальных атаках. В 2023 году Kaspersky попала под санкции США, но продолжает работать на глобальном рынке.
Daemon Tools — программа для создания и монтирования образов CD/DVD/ISO, разработанная компанией Disc Soft. Первая версия вышла в 2000 м году, и к 2024 году продукт установлен более чем на 10 млн компьютеров. В последние годы Daemon Tools расширил функции: поддержка виртуальных приводов, интеграция с облачными сервисами и автоматические обновления.
Disc Soft — российская фирма, основанная в 1999 году, известна в основном благодаря Daemon Tools и серии утилит для работы с образами дисков. Компания обслуживает более 500 000 пользователей по всему миру и поддерживает несколько языковых версий своих программ. После обнаружения бэкдора компания объявила о «приоритетном» расследовании, но официальных деталей пока нет.
Notepad++ — бесплатный текстовый редактор для Windows, изначально созданный в 2003 году Филиппом Шарпом. Популярен среди программистов за лёгкость, подсветку синтаксиса и открытый код. В начале 2024 года в обновлениях Notepad++ был обнаружен вредоносный модуль, предположительно внедрённый китайскими хакерами, что стало одним из самых обсуждаемых инцидентов цепочки поставок.
CPUID — чешская компания, специализирующаяся на программных инструментах для мониторинга оборудования (CPU‑Z, HWMonitor). Основана в 1999 м году. После компрометации сайта в апреле 2024 года пользователи скачивали поддельные версии утилит, заражённые шпионским ПО. Компания выпустила срочный патч и рекомендацию проверять подписи загрузок.
Итог простой: даже проверенный софт может стать подвохом, если в цепочке поставок есть уязвимость. Регулярные проверки, внимание к подписи файлов и быстрый отклик на официальные предупреждения — лучшие способы не стать жертвой.
