Araştırmacılar Salı günü yaptığı açıklamada, disk görüntülerini monte etmek için yaygın olarak kullanılan bir uygulama olan Daemon Tools'un, geliştiricisinin sunucularından kötü amaçlı güncellemeler gönderen bir ay süren bir uzlaşma nedeniyle arka kapıya maruz kaldığını söyledi.
Güvenlik firması KasperskyraporlamaTedarik zinciri saldırısının 8 Nisan'da başladığını ve gönderi yayına girdiği andan itibaren aktif kaldığını söyledi. Geliştiricinin resmi dijital sertifikasıyla imzalanan ve web sitesinden indirilen yükleyiciler, Daemon Tools yürütülebilir dosyalarına bulaşarak kötü amaçlı yazılımın önyükleme sırasında çalışmasına neden olur. Kaspersky bunu açıkça söylemedi ancak teknik ayrıntılara göre virüslü sürümlerin yalnızca Windows'ta çalışan sürümler olduğu görülüyor. 12.5.0.2421'den 12.5.0.2434'e kadar olan sürümler etkilenir. Ek ayrıntılar için Kaspersky veya geliştirici AVB ile hemen iletişime geçilemedi.
Karşı savunmak zor
Etkilenen sürümler, MAC adreslerini, ana bilgisayar adlarını, DNS etki alanı adlarını, çalışan işlemleri, yüklü yazılımları ve sistem yerel ayarlarını toplayan bir başlangıç verisi içerir. Kötü amaçlı yazılım bunları saldırganın kontrolündeki bir sunucuya gönderir. 100'den fazla ülkede binlerce makine hedef alındı. Etkilenen çok sayıda makineden perakende, bilim, hükümet ve üretim kuruluşlarına ait olan yaklaşık 12 tanesi, bir takip yükü aldı; bu, tedarik zinciri saldırısının belirli grupları hedef aldığını gösteriyor.
