Daemon Tools Resmi Sitesinde Kritik Tedarik Zinciri Saldırısı: Binlerce Cihaz Tehdit Altında

Daemon Tools Resmi Sitesinde Kritik Tedarik Zinciri Saldırısı

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), popüler sanal sürücü emülasyon yazılımlarından birinin resmi internet sitesine yönelik bir tedarik zinciri saldırısını tespit etti. Yapılan araştırmalara göre, saldırganlar ele geçirdikleri yükleyici aracılığıyla yasal uygulamayla birlikte arka kapı işlevi gören zararlı yazılımlar dağıtarak, enfekte cihazlarda uzaktan komut çalıştırma ve kontrol imkanı sağlıyor.

Yayılım ve Etki Alanı

Telemetri verileri, zararlı yazılım içeren modifiye edilmiş yazılımların 8 Nisan'dan itibaren doğrudan üreticinin ana domaini üzerinden dağıtıldığını gösteriyor. Saldırganların kullandığı zararlı kod, geçerli bir geliştirici dijital sertifikasıyla imzalanarak gizlenmiş ve Daemon Tools'un 12.5.0.2421 sürümünden itibaren mevcut güncellemelerin tamamını etkiliyor.

Yüksek Yetkiler ve Cihaz Bütünlüğü Tehlikesi

Disk emülasyonu yazılımlarının düşük seviyeli sistem erişimi gerektirmesi sebebiyle, kullanıcılar yükleme aşamasında genellikle yüksek yönetici ayrıcalıkları veriyor. Bu durum, zararlı yazılımın sistemde derinlemesine yerleşerek cihaz bütünlüğünü ciddi şekilde tehlikeye atmasına olanak tanıyor. Analizler, saldırganların yasal ikili dosyaları manipüle ederek zararlı kodu başlatma sırasında çalıştırdığını ve kalıcılık için işletim sistemi servislerini suistimal ettiğini ortaya koyuyor.

Küresel Yayılım ve Hedeflenen Sektörler

Kaspersky verileri, zararlı güncellemelerin 100'den fazla ülke ve bölgede yayıldığını doğrularken; Türkiye, Rusya, Brezilya, İspanya, Almanya, Fransa, İtalya ve Çin gibi ülkelerin en fazla etkilenenler arasında olduğunu gösteriyor. Etkilenen sistemlerin yaklaşık %10'u ticari işletmelere ve kurumlara ait olup, perakende, bilim, kamu ve imalat gibi kritik sektörlerdeki makinelerde manuel olarak ek zararlı modüller yerleştirildiği tespit edildi.

İleri Düzey Saldırı ve Hedefleme

Kurbanların endüstri profili, yazım hataları ve komutlarda görülen tutarsızlıklar, saldırının "elle" yani doğrudan ve hedef odaklı gerçekleştirildiğini destekliyor. Buna ek olarak zararlılarda Çince dil kalıntılarına rastlanmasına rağmen, kampanya henüz belirli bir tehdit grubuna bağlanamamış durumda.

Kaspersky'nin Güvenlik Uyarıları ve Önerileri

Kaspersky, tedarik zinciri saldırılarının işletmeler için son 12 ayda en yaygın siber tehdit haline geldiğini ancak kuruluşların yalnızca %9'unun bu riskleri öncelikli gördüğünü belirtiyor. Şirket, riskleri azaltmak adına yazılım tedarik zincirlerinin sıkı denetlenmesi, güncel müdahale planlarının oluşturulması, yönetici yetkilerinin kısıtlanması ve "sıfır güven" mimarisi ile Genişletilmiş Tespit ve Müdahale (XDR) çözümlerinin uygulanmasını tavsiye ediyor.

Saldırının Boyutu ve Etkileri

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Georgy Kucherin, kullanıcıların resmi ve dijital olarak imzalanmış yazılımlara kayıtsız güven duyduğunu ve bunun geleneksel savunma mekanizmalarını devre dışı bıraktığını vurguladı. Ayrıca saldırının yaklaşık bir ay boyunca saptanamaması, arkasındaki aktörlerin gelişmiş ve sofistike bir altyapıya sahip olduğunu gösteriyor. Kucherin, kurumlardan Daemon Tools yüklü cihazları izole etmelerini ve zararlı faaliyetlerin yayılmasını engellemek için kapsamlı güvenlik taramaları yapmalarını istedi.