Daemon Tools: Hersteller bestätigt Supply-Chain-Angriff über manipulierte Installationspakete

Zusammenfassung

Disc Soft, der Entwickler der Disc-Imaging-Software Daemon Tools, hat einen Einbruch in seine Systeme bestätigt, der zu einem gezielten Supply-Chain-Angriff geführt hat. Bekannt wurde der Vorfall, als Kaspersky in dieser Woche warnte, dass möglicherweise Tausende Rechner mit Schadsoftware infiziert wurden, nachdem sie trojanisierte Versionen von Daemon Tools über die offizielle Website heruntergeladen hatten. Nach Angaben von Kaspersky schleusten chinesischsprachige Angreifer in Daemon-Tools-Versionen, die zwischen dem 8. April und dem 5. Mai veröffentlicht wurden, Code ein, der einen Informationssammler herunterladen und ausführen sollte. Der Hersteller erklärte, der Vorfall sei eingedämmt: Betroffen sei ausschließlich die kostenlose Variante Daemon Tools Lite, andere Produkte wie Daemon Tools Ultra und Daemon Tools Pro seien nicht betroffen. Disc Soft hat nach eigenen Angaben die betroffenen Systeme isoliert, möglicherweise kompromittierte Dateien aus der Verteilung entfernt und eine saubere Version bereitgestellt. Wer die manipulierte Software heruntergeladen hat, muss den eigenen Rechner allerdings selbst bereinigen.

Aufmerksam wurde die Öffentlichkeit auf den Fall durch eine Warnung von Kaspersky in dieser Woche. Demnach könnten Tausende Computer infiziert worden sein, nachdem Nutzer trojanisierte Ausgaben von Daemon Tools von der offiziellen Website geladen hatten. Die Angreifer manipulierten laut Kaspersky die zwischen dem 8. April und dem 5. Mai veröffentlichten Versionen mit Code, der einen Informationssammler nachladen und starten sollte.

Aus den Tausenden infizierten Maschinen wählten die Täter Kaspersky zufolge anschließend rund ein Dutzend aus, um sie mit einer Backdoor zu infizieren. Eine russische Bildungseinrichtung wurde zusätzlich mit einer zweiten, komplexeren Backdoor angegriffen. Die erste Backdoor sei auf Systemen von Behörden sowie von Organisationen aus Wissenschaft, Fertigung und Handel in Belarus, Russland und Thailand eingesetzt worden. Die Aktivität schreibt Kaspersky chinesischsprachigen Akteuren zu.

Disc Soft bestätigte den Angriff und erklärte, Unbekannte hätten bestimmte Installationspakete kompromittiert. Die Auswirkungen beschränkten sich jedoch auf die kostenlose Version Daemon Tools Lite. Nachdem das Unternehmen von dem Problem erfahren hatte, isolierte und sicherte es die betroffenen Systeme, entfernte potenziell kompromittierte Dateien aus der Verteilung, baute die Installationspakete neu auf und prüfte sie. Eine bereinigte Fassung von Daemon Tools Lite mit der Versionsnummer 12.6.0.2445 wurde am 5. Mai bereitgestellt.

Nach Darstellung des Herstellers war ausschließlich Daemon Tools Lite in der Version 12.5.1 betroffen; das Problem sei eingedämmt, andere Produkte wie Daemon Tools Ultra und Daemon Tools Pro seien nicht betroffen.

„Unsere Untersuchung dauert an, während wir die Ursache und den vollen Umfang des Vorfalls weiter analysieren. Zum jetzigen Zeitpunkt schreiben wir den Vorfall keinem bestimmten Dritten zu. Wir prüfen sorgfältig alle Komponenten unserer Infrastruktur, um ein vollständiges und genaues Bild des Geschehens zu erhalten“, teilte das Unternehmen mit. Zudem werde man die eigenen Prüfverfahren verbessern, um das Risiko ähnlicher Vorfälle künftig zu verringern.

Nutzer, die die trojanisierte Version heruntergeladen haben, müssen ihre Systeme selbst bereinigen. Dazu sollten sie Daemon Tools Lite deinstallieren und den Rechner auf Schadsoftware prüfen.

Daemon Tools: Hersteller bestätigt Supply-Chain-Angriff über manipulierte Installationspakete

Ähnliche Artikel

Neueste Artikel