Populárny softvér na prácu s obrazmi diskov, Daemon Tools, sa stal obeťou mimoriadne rafinovaného útoku na dodávateľský reťazec. Tento typ útoku je nočnou morou pre každého používateľa aj IT správcu, pretože zneužíva to najcennejšie – dôveru v oficiálny zdroj. Útočníci totiž neinfiltrovali pochybné fóra, ale priamo oficiálnu webovú stránku vývojára, odkiaľ distribuovali infikované inštalačné balíky pre Windows.
Digitálny podpis ako maskovanie
Podľa podrobnej analýzy bezpečnostných expertov zo spoločnosti Kaspersky kampaň odštartovala už 8. apríla 2026. Útok zasiahol tisíce počítačov vo viac ako stovke krajín, no to, čo ho robilo skutočne nebezpečným, bolo jeho „krytie“. Malígne inštalátory boli totiž podpísané legitímnymi digitálnymi certifikátmi spoločnosti AVB Disc Soft. V praxi to znamenalo, že operačný systém aj väčšina antivírusových programov považovali súbor za stopercentne bezpečný a overený priamo autorom.
Kompromitované boli verzie Daemon Tools v rozmedzí od 12.5.0.2421 po 12.5.0.2434. Útočníci vložili škodlivý kód do troch kľúčových komponentov programu: DTHelper.exe, DiscSoftBusServiceLite.exe a DTShellHlp.exe. Tieto súbory sú srdcom aplikácie a spúšťajú sa automaticky, čo hackerom zabezpečilo trvalý prístup do systému obetí.
Od hromadného zberu dát k chirurgickej presnosti
Hneď po aktivácii začal tento „tichý hosť“ v počítači vykonávať detailný prieskum. Prvá fáza útoku bola zameraná na zber informácií. Backdoor odosielal na servery útočníkov dáta o sieťovej konfigurácii, nainštalovanom softvéri, spustených procesoch a dokonca aj presnú geografickú polohu používateľa. Útočníci si tak vytvorili obrovskú databázu cieľov, v ktorej si následne začali vyberať.
Zatiaľ čo prvá vlna zasiahla tisíce bežných používateľov, druhá fáza bola mrazivo presná. Škodlivý náklad druhej úrovne bol doručený len na približne tucet vybraných zariadení. Tie však neboli náhodné – patrili vládnym agentúram, vedeckým inštitúciám, veľkým výrobným podnikom a vzdelávacím zariadeniam v Rusku, Bielorusku a Thajsku. Táto selektivita vedie vedcov k záveru, že nešlo o náhodný útok hackerov túžiacich po pozornosti, ale o profesionálne naplánovanú špionážnu operáciu.
Čo robiť a ako reagovať?
Hoci spoločnosť AVB Disc Soft už bola o incidente informovaná, proces čistenia systému je pre používateľov nevyhnutný. Ak ste v posledných týždňoch inštalovali alebo aktualizovali Daemon Tools, bezpečnosť vášho systému môže byť vážne ohrozená.
Odporúčané kroky pre používateľov:
- Vykonajte hĺbkový sken systému aktualizovaným antivírusovým riešením.
- Skontrolujte verziu vášho softvéru v sekcii „O programe“.
- Sledujte systémové procesy a hľadajte akékoľvek neštandardné správanie alebo sieťovú aktivitu smerujúcu na neznáme domény.
- Buďte obzvlášť obozretní pri spustiteľných súboroch v priečinkoch
TempaleboAppData, ktoré by tam nemali mať svoje miesto.
Hoci Kaspersky zatiaľ kampaň nepripísal konkrétnej skupine, stopy v kóde naznačujú, že útočníci sú čínsky hovoriaci. Tento incident je ďalšou pripomienkou toho, že ani „oficiálny inštalátor“ už dnes nie je zárukou absolútnej bezpečnosti.
