Kaspersky sagt, dass die Supply-Chain-Hintertür von Daemon Tools Windows-Nutzer in einer noch aktiven Kampagne trifft

Warum Supply-Chain-Angriffe schwer einzudämmen bleiben

Supply-Chain-Vorfälle sind besonders störend, weil sie Vertrauen ausnutzen. Nutzer gehen oft davon aus, dass Software von der offiziellen Herstellerseite sicher ist. Administratoren setzen bekannte Tools möglicherweise auch auf Allow-Lists oder behandeln deren Installer als Routine. Sobald bösartiger Code in diesen Pfad gelangt, müssen Verteidiger nicht nur einen einzelnen Rechner, sondern die Integrität eines gesamten Vertriebskanals neu bewerten.

Kaspersky sagte, der Angriff sei weiterhin aktiv, was die Lage für alle verschärft, die kürzlich die Windows-Version von Daemon Tools heruntergeladen oder installiert haben könnten. TechCrunch berichtete, dass es das Windows-Installationsprogramm von der Daemon-Tools-Website heruntergeladen und festgestellt habe, dass die Datei bei einer Prüfung mit VirusTotal offenbar die Hintertür enthalte. Unklar bleibt, ob die macOS-Version betroffen war oder ob andere Disc-Soft-Anwendungen kompromittiert wurden.

Reaktion des Anbieters und offene Fragen

Kaspersky sagte, es habe Disc Soft, das Unternehmen hinter Daemon Tools, kontaktiert, nannte jedoch nicht, ob der Entwickler zunächst reagiert oder Maßnahmen ergriffen habe. TechCrunch berichtete unter Berufung auf einen Unternehmensvertreter, Disc Soft sei über den Bericht informiert und untersuche den Vorfall. Der Vertreter sagte, das Unternehmen behandle die Angelegenheit mit hoher Priorität, könne die im Bericht genannten spezifischen Details aber noch nicht bestätigen.

Damit bleiben mehrere wichtige Fragen offen: wie der bösartige Code eingeschleust wurde, wie lange die kompromittierten Installer verfügbar waren, ob Signier- oder Build-Systeme betroffen waren und ob auch Nutzer außerhalb der identifizierten Zielländer exponiert waren. Diese Antworten werden sowohl das Ausmaß des Vorfalls als auch die erforderlichen Gegenmaßnahmen bestimmen.

Teil eines größeren Trends

Die Warnung fällt in eine Reihe jüngerer Angriffe, die Entwickler oder die Infrastruktur der Softwareverteilung ins Visier genommen haben, um bösartigen Code nachgelagert zu verbreiten. Kaspersky ordnete den Daemon-Tools-Fall als den jüngsten in einer Serie von Supply-Chain-Vorfällen ein, die beliebte Software betreffen. Der Reiz für Angreifer liegt auf der Hand: Die Kompromittierung eines vertrauenswürdigen Softwarepfads kann mit einem einzigen Schritt Reichweite, Persistenz und glaubhafte Tarnung liefern.

Für Verteidiger ist die Lehre ebenfalls bekannt. Reputation allein ist keine ausreichende Sicherheitskontrolle, und Prüfungen der Softwareherkunft müssen über die bloße Markenbekanntheit hinausgehen. Unternehmen, die weit verbreitete Tools auf Endpunkten zulassen, sollten nun möglicherweise jüngste Installationen von Daemon Tools überprüfen, nach Folge-Malware-Aktivität suchen und weitere Hinweise von Kaspersky und Disc Soft beachten.

Bis die Untersuchung klarer ist, bleibt der Daemon-Tools-Vorfall eine weitere Erinnerung daran, dass ein einziger kompromittierter Installer zum Einstiegspunkt für eine deutlich größere Kampagne werden kann.

Dieser Artikel basiert auf Berichten von TechCrunch. Den Originalartikel lesen.