Supply-Chain-AttackenMalwareSchwachstellen

Daemon Tools bestätigt Supply-Chain-Angriff: Kostenlose Version kompromittiert

Von CyberDeutsch Redaktion
Daemon Tools bestätigt Supply-Chain-Angriff: Kostenlose Version kompromittiert
Zusammenfassung

Der Softwareentwickler Disc Soft ist Opfer eines Hackerangriffs geworden, der zu einer gezielten Supply-Chain-Attacke führte. Zwischen dem 8. April und 5. Mai wurden trojanisierte Versionen der populären Virtual-Machine-Software Daemon Tools über die offizielle Website verbreitet. Chinesischsprachige Angreifer hatten den Installationspaketen Code injiziert, um ein Informations-Erfassungstool herunterzuladen und auszuführen. Nach Angaben von Kaspersky wurden Tausende Computer infiziert, wobei die Angreifer anschließend etwa ein Dutzend Systeme mit einem Backdoor kompromittierten und eine russische Bildungseinrichtung mit einem noch komplexeren Backdoor ins Visier nahmen. Betroffen waren Einrichtungen aus Regierung, Wissenschaft, Fertigung und Einzelhandel in Belarus, Russland und Thailand. Disc Soft hat inzwischen bestätigt, dass nur die kostenlose Version Daemon Tools Lite 12.5.1 kompromittiert wurde, und versichert, dass das Unternehmen das Problem eingedämmt und die Systeme gesichert hat. Deutsche Nutzer und Unternehmen, die die betroffene Software-Version zwischen diesen Daten heruntergeladen haben, sollten ihre Systeme sofort überprüfen und das Programm deinstallieren sowie einen umfassenden Malware-Scan durchführen.

Disc Soft hat am Mittwoch die Kompromittierung bestimmter Installationspakete bestätigt und dabei betont, dass sich die Auswirkungen auf die kostenlose Version Daemon Tools Lite beschränkten. Nach Bekanntwerden des Vorfalls handelte das Unternehmen schnell: Die betroffenen Systeme wurden isoliert und gesichert, potenziell manipulierte Dateien aus dem Vertriebsnetz entfernt, und bereits am 5. Mai eine bereinigte Version – Daemon Tools Lite 12.6.0.2445 – zur Verfügung gestellt.

Die Sicherheitsanalyse von Kaspersky offenbarte das Ausmaß der Operation: Die Angreifer verteilten zwischen dem 8. April und 5. Mai trojanisierte Versionen des Tools, die einen Information Collector herunterladen und ausführen sollten. Aus den Tausenden infizierter Maschinen wählten sie strategisch etwa zwölf Systeme für die Deployment eines Backdoors aus. Ein weiterer, technisch aufwendigerer Backdoor wurde gezielt gegen eine russische Bildungseinrichtung eingesetzt. Die nachweisbaren Infektionen konzentrierten sich auf Behörden, Forschungseinrichtungen, Industrieunternehmen und Einzelhandelsketten in Russland, Belarus und Thailand.

Disc Soft versichert, dass nur Version 12.5.1 von Daemon Tools Lite kompromittiert wurde und keine anderen Produkte wie Daemon Tools Ultra oder Daemon Tools Pro betroffen sind. Das Unternehmen kündigte an, die Sicherheitsmaßnahmen in der Zukunft zu verstärken und alle Infrastruktur-Komponenten auf potenzielle Schwachstellen zu überprüfen. “Unsere Ermittlungen sind noch nicht abgeschlossen. Wir können derzeit keine spezifische Zuordnung zu bekannten Angreifern vornehmen”, erklärte das Unternehmen.

Nutzer, die die manipulierte Version heruntergeladen haben, sollten ihre Systeme bereinigen: Sie sollten Daemon Tools Lite deinstallieren und anschließend einen umfassenden Malware-Scan durchführen. Diesen Vorfall sollte man als Warnsignal verstehen – Supply-Chain-Attacken gehören zu den gefährlichsten Cyberbedrohungen der Gegenwart, weil sie die Vertrauenskette zwischen Entwickler und Nutzer ausnutzen. Das BSI empfiehlt deutschen Unternehmen generell, ihre Lieferanten-Management-Prozesse zu überprüfen und nur Softwareprodukte von verifizierten Quellen zu beziehen.

Ähnliche Artikel