Kaspersky: Daemon Tools is gehackt en wordt misbruikt voor supplychainaanvallen

In dit artikel:

Beveiligingsbedrijf Kaspersky meldt dat in betrouwbare Windows-software Daemon Tools een achterdeur is ingebouwd, waarmee aanvallers malware installeren op systemen van vooral wetenschappelijke, industriële en overheidsinstellingen. De geïnfecteerde installers zijn volgens Kaspersky sinds 8 april rechtstreeks van de officiële Daemon Tools-website te downloaden geweest; het gaat om versies 12.5.0.2421 tot 12.5.0.2434. Kaspersky heeft maker AVB Disc Soft benaderd, maar publiceerde zijn bevindingen al eerder terwijl de installers nog online stonden.

Op basis van telemetrie ziet Kaspersky besmettingen in meer dan honderd landen, met duizenden getroffen systemen — vooral in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en ook China. In slechts een beperkt aantal landen is echter daadwerkelijk een schadelijke payload uitgerold; dat betrof met name doelen in Rusland, Wit-Rusland en Thailand, waaronder overheden, onderzoeksinstellingen, winkels en industriële bedrijven.

De kwaadaardige code bevat een informatieverzamelaar die macadressen, hostnamen, DNS-namen en geïnstalleerde software doorstuurt naar een command-and-control-server. Aanvallers gebruiken die gegevens om aantrekkelijke doelen te identificeren en vervolgens gerichter malware te plaatsen, onder meer QUIC RAT — een remote access trojan die zich kan injecteren in Kladblok en conhost.exe. In de code zijn Chinese tekens aangetroffen, wat op Chinese betrokkenheid zou kunnen wijzen, maar Kaspersky wijst geen specifieke groep aan en blijft voorzichtig over attributie.

Dit incident illustreert de risico’s van supply-chain compromittingen: zelf populair hulpprogramma’s kunnen als toegangspunt voor geavanceerde spionage en sabotage dienen. Gebruikers en organisaties wordt aangeraden downloads te verifiëren, software te updaten of tijdelijk te verwijderen en systemen met betrouwbare beveiligingssoftware te scannen.