Kaspersky affirme que la porte dérobée de la chaîne d’approvisionnement de Daemon Tools touche des utilisateurs Windows dans une campagne toujours active

Pourquoi les attaques sur la chaîne d’approvisionnement restent difficiles à contenir

Les incidents de chaîne d’approvisionnement sont particulièrement perturbateurs parce qu’ils exploitent la confiance. Les utilisateurs supposent souvent que les logiciels obtenus sur le site officiel d’un éditeur sont sûrs. Les administrateurs peuvent aussi mettre des utilitaires connus sur liste blanche ou considérer leurs installateurs comme des routines. Une fois du code malveillant introduit dans ce chemin, les défenseurs doivent réévaluer non seulement une machine, mais l’intégrité d’un canal de distribution entier.

Kaspersky a indiqué que l’attaque est toujours active, ce qui augmente les enjeux pour toute personne ayant récemment téléchargé ou installé la version Windows de Daemon Tools. TechCrunch a rapporté avoir téléchargé l’installateur Windows depuis le site de Daemon Tools et constaté que le fichier semblait contenir la porte dérobée lors d’une vérification avec VirusTotal. On ignore encore si la version macOS a été touchée ou si d’autres applications de Disc Soft ont été compromises.

Réponse de l’éditeur et questions en suspens

Kaspersky a indiqué avoir contacté Disc Soft, la société derrière Daemon Tools, sans préciser si le développeur avait répondu initialement ou pris des mesures. TechCrunch, citant un représentant de l’entreprise, a rapporté que Disc Soft avait connaissance du signalement et menait une enquête. Le représentant a déclaré que l’entreprise traitait l’affaire comme une priorité élevée, mais qu’elle n’était pas encore en mesure de confirmer les détails précis mentionnés dans le rapport.

Plusieurs questions importantes restent donc sans réponse : comment le code malveillant a été introduit, pendant combien de temps les installateurs compromis ont été disponibles, si des systèmes de signature ou de build ont été touchés, et si des utilisateurs en dehors des pays ciblés identifiés ont également été exposés. Ces réponses détermineront à la fois l’ampleur de l’incident et les mesures correctives que les organisations devront prendre.

Une tendance plus large

L’avertissement survient au milieu d’une série récente d’attaques visant des développeurs ou des infrastructures de distribution logicielle afin de pousser du code malveillant en aval. Kaspersky a présenté le cas Daemon Tools comme le plus récent d’une série d’incidents de chaîne d’approvisionnement affectant des logiciels populaires. L’attrait pour les attaquants est évident : compromettre un chemin logiciel de confiance peut offrir en une seule action l’échelle, la persistance et une couverture plausible.

Pour les défenseurs, la leçon est tout aussi connue. La réputation ne suffit pas à elle seule comme contrôle de sécurité, et les vérifications de provenance logicielle doivent aller au-delà de la simple reconnaissance de marque. Les entreprises qui autorisent des utilitaires largement utilisés sur les terminaux devront peut-être vérifier les installations récentes de Daemon Tools, rechercher toute activité de malware ultérieure et suivre les recommandations de Kaspersky et de Disc Soft.

Jusqu’à ce que l’enquête soit plus claire, l’incident Daemon Tools rappelle une fois de plus qu’un seul installateur compromis peut devenir le point d’entrée d’une campagne bien plus vaste.

Cet article s’appuie sur un reportage de TechCrunch. Lire l’article original.