Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера.
🔹 "Кто-то ещё пользуется DAEMON Tools?! О_о"
Тут дело-то, конечно, не в DAEMON Tools как таковом, а в культуре потребления программных продуктов в принципе. Существует масса сверхпопулярного софта, разрабатываемого непонятно кем. Вот тот же DAEMON Tools - это поделие то ли латышской, то ли гонконгской компании. Что это вообще за компания, что там за люди работают, насколько они ответственно относятся к безопасности своих продуктов? 🤷♂️ Непонятно. А Notepad++? Может, там вообще никакой компании нет, просто какой-то один разработчик с ментальными проблемами, передавший доступ к репозиторию какому-то левому анонимусу (как в инциденте с XZ Utils). И это только софт для конечных пользователей. Если посмотреть на то, кто контролирует зависимости для софта, то там вообще мрак. Неудивительно, что злоумышленники прочухали, что атаковать кустарей и получать доступ к их клиентам - это просто и суперэффективно. Поэтому таких supply chain-атак будет только больше. И это не изменится, пока не изменится неадекватно доверчивое отношение к софту. Пока пользователи не перестанут вестись на модные продукты (а программисты - на модные библиотеки и фреймворки) как Эллочка Людоедка на блестящее ситечко, полностью игнорируя соображения безопасности. Пока же, к сожалению, наблюдаю обратные тенденции.
🔹 "По исследованию ясно, что атака скорее была точечная, сиречь целенаправленная, так как заражено сравнительно немного машин, и часть пользователей задело по касательной."
Тут тоже не могу согласиться. Устройства всех пользователей, которые установили себе DAEMON Tools с малварью, были скомпрометированы. То, что не на всех устройствах, по мнению исследователей Kaspersky, злоумышленники устанавливали минималистичный бэкдор и QUIC RAT, - дело десятое. Никто не может гарантировать пользователям, что злоумышленники на системе не закрепились. Единственная рекомендация здесь может быть - вайпать машину и перенакатывать операционку, особенно в случае корпоративной среды.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте.
And I invite all English-speaking people to another Telegram channel @avleonovcom.