Kaspersky phát hiện cửa sau trong Daemon Tools, nghi vấn do hacker Trung Quốc thực hiện

Các nhà nghiên cứu bảo mật tại Kaspersky vừa xác định được một cửa sau (backdoor) độc hại được cài cắm vào Daemon Tools, phần mềm tạo đĩa ảo lâu đời và phổ biến trên hệ điều hành Windows.

Công ty an ninh mạng Nga cho biết dữ liệu thu thập được từ các máy tính trên toàn thế giới đang chạy phần mềm diệt virus của họ cho thấy một cuộc tấn công "diện rộng" đang diễn ra, nhắm mục tiêu vào hàng nghìn máy tính Windows sử dụng Daemon Tools.

Cuộc tấn công có chủ đích và quy mô

Theo Kaspersky, những kẻ tấn công - được liên kết với một nhóm nói tiếng Trung Quốc dựa trên phân tích mã độc - đã sử dụng cửa sau trong Daemon Tools để cài đặt thêm phần mềm độc hại lên khoảng một chục máy tính. Các nạn nhân này thuộc các lĩnh vực bán lẻ, khoa học, sản xuất cũng như các hệ thống chính phủ.

Công ty cho biết việc tấn công cụ thể vào các máy tính này ngụ ý một nỗ lực "có chủ đích". Các tổ chức bị nhắm mục tiêu được xác định là nằm tại Nga, Belarus và Thái Lan.

Cửa sau này lần đầu tiên được phát hiện vào ngày 8 tháng 4. Kaspersky nhận định cuộc tấn công chuỗi cung ứng này "vẫn đang hoạt động", gợi ý rằng hacker vẫn có khả năng cài mã độc lên hàng nghìn máy tính chạy phần mềm tạo đĩa ảo này.

Phản ứng của nhà phát triển và xác minh

Kaspersky cho biết đã liên hệ với Disc Soft, công ty duy trì Daemon Tools, nhưng không tiết lộ liệu nhà phát triển đã phản hồi hay hành động chưa.

TechCrunch đã tải xuống bộ cài đặt Windows từ trang web của Daemon Tools và kiểm tra file này bằng dịch vụ quét mã độc trực tuyến VirusTotal. Kết quả cho thấy file này dường như chứa cửa sau độc hại. Hiện chưa rõ phiên bản macOS của Daemon Tools có bị xâm phạm hay không, hay các ứng dụng khác của Disc Soft có bị ảnh hưởng hay không.

Khi được yêu cầu bình luận, một đại diện của Disc Soft cho biết họ "đã biết về báo cáo và hiện đang điều tra tình hình".

"Đội ngũ của chúng tôi đang coi trọng vấn đề này với mức độ ưu tiên cao nhất và đang tích cực làm việc để đánh giá và giải quyết vấn đề. Tại giai đoạn này, chúng tôi chưa ở vị trí để xác nhận các chi tiết cụ thể được đề cập trong báo cáo. Tuy nhiên, chúng tôi đang thực hiện tất cả các bước cần thiết để khắc phục mọi rủi ro tiềm ẩn và đảm bảo an toàn cho người dùng," đại diện cho biết.

Xu hướng tấn công chuỗi cung ứng gia tăng

Đây là sự kiện mới nhất trong chuỗi các cuộc tấn công được gọi là "chuỗi cung ứng" nhắm vào các nhà phát triển phần mềm phổ biến trong những tháng gần đây. Các hacker ngày càng nhắm vào tài khoản của các nhà phát triển làm việc trên các mã nguồn và phần mềm được sử dụng rộng rãi, sau đó lạm dụng quyền truy cập đó để đẩy mã độc đến bất kỳ ai phụ thuộc vào phần mềm này.

Phương pháp này cho phép hacker xâm nhập vào một số lượng lớn máy tính cùng một lúc khi mã độc của họ được phân phối dưới dạng bản cập nhật phần mềm hợp pháp.

Vào đầu năm nay, các hacker liên quan đến chính phủ Trung Quốc đã chiếm đoạt phần mềm chỉnh sửa văn bản phổ biến Notepad++ để phát tán mã độc cho một số tổ chức có quan tâm đến Đông Á. Các nhà nghiên cứu bảo mật cũng cảnh báo về một cuộc tấn công khác vào tháng trước nhắm vào người dùng truy cập trang web của CPUID, công ty tạo ra các công cụ phổ biến HWMonitor và CPU-Z.