Vor einigen Tagen wurde ja der Supply Chain-Angriff auf die DAEMON Tools bekannt. Ich hatte im Beitrag Daemon Tools: Server liefert Version mit Malware aus berichtet. Nun hat Oliver Keizers vom Sicherheitsanbieter Filigran einen Beitrag "Der DAEMON Tools Supply Chain-Angriff: Was deutsche Unternehmen und Behörden daraus mitnehmen sollten" erstellt, der Handlungskonsequenzen aufzeigen will.
Ein monatelanger, nicht erkannter, Lieferketten Angriff auf DAEMON Tools, ein Disk Imaging Tool, verdeutlicht: Kompromittierungen sind nach wie vor sehr schwer aufzudecken. Der von Kaspersky aufgedeckte Angriff lief ab dem 8. April 2026 und infizierte heimlich, still und leise Systeme in über 100 Ländern. Dabei wurden zunächst Systemdaten gesammelt, bevor anschließend bei ausgewählten Opfern in Handel, Verwaltung, Industrie und Forschung gezielt eine zweite Malware nachgeladen wurde.
Nicht der erste Fall
Filigran weist darauf hin, dass es dasselbe Muster beim CCleaner (2017), SolarWinds (2020) und 3CX (2023) gab. Alle Fälle hatte ich im Blog dokumentiert, siehe Links am Artikelende. Und trotzdem dauerte auch diesmal die Erkennung wieder mehrere Wochen.
Industrie und Behörden sind attraktive Ziele
Die deutsche Industrie und Behördenlandschaft sind attraktive Ziele für genau diese Art von Supply Chain-Angriffen. Fertigungsunternehmen, Bundesbehörden, Forschungseinrichtungen: sie alle setzen auch auf Software, die außerhalb des klassischen Sicherheitsperimeters liegt.
Die NIS2, in Deutschland durch das NIS2UmsuCG in nationales Recht überführt, verpflichtet betroffene Einrichtungen ausdrücklich zum Management von Supply Chain-Risiken. Das BSI benennt Supply Chain-Angriffe in seinen jährlichen Lageberichten zur IT-Sicherheit konsequent als eine der zentralen Bedrohungen, gegen die es sich zu wappnen gilt. Dennoch fehlt vielen Unternehmen und Behörden die operative Infrastruktur, um auf diese Bedrohungskategorie in Echtzeit reagieren zu können.
Die tatsächliche Lücke liegt nicht im Tool
Der DAEMON Tools-Angriff zeigt exemplarisch, was passiert, wenn Bedrohungsinformationen isoliert vorliegen oder ganz fehlen. Die Indikatoren waren vorhanden: ungewöhnliche ausgehende Verbindungen, neue Prozesse, unerklärliches Software-Verhalten. Aber ohne eine strukturierte Möglichkeit, diese Indikatoren zu korrelieren und einzuordnen, bleiben sie lediglich ein undeutliches Rauschen.
Allerdings gab es in den vergangenen Jahren einige signifikante Fortschritte, auch im Open Source Bereich. Plattformen, wie OpenCTI, die vollständig quelloffen entwickelt werden, ermöglichen es Sicherheitsteams, Bedrohungsdaten aus hunderten Quellen zu strukturieren, mit etablierten Frameworks wie MITRE ATT&CK zu verknüpfen und operativ nutzbar zu machen, ohne Abhängigkeit von einem einzelnen Anbieter. Das Resultat: Das aufgebaute Wissen bleibt im Unternehmen, auch wenn Analysten das Team wechseln. Das verhindert zwar keine Angriffe, aber es verkürzt die Zeit, in der sie unbemerkt bleiben.
Supply Chain-Angriffe werden nicht aufhören. Die entscheidende Frage ist daher nicht, ob die eigene Software kompromittiert werden kann, sondern ob das Team es innerhalb von Stunden bemerkt oder erst nach Monaten. Der Unterschied in den aus den jeweiligen Zeitfenstern resultierenden Schäden kann gewaltig sein. Daraus abgeleitet lässt sich feststellen: Wer Bedrohungsintelligenz heute noch als reines Reporting-Werkzeug behandelt, versäumt es, aus den bisherigen Vorfällen die richtigen Schlüsse zu ziehen, folgert Oliver Keizers vom Sicherheitsanbieter Filigran.
Ähnliche Artikel:
Daemon Tools: Server liefert Version mit Malware aus
CCleaner Malware – weitere Analysen von AVAST
AVAST: CCleaner Malware zielte auf Firmen
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
3CX Desktop-App in Supply-Chain-Attack infiziert (29. März 2023)
Ergänzende Informationen zur kompromittierten 3CX Desktop-App
MVP: 2013 – 2016
Die Folgerung wird leider auch hier wieder sein: Betroffene Systeme neu installieren, Gründe finden warum auf jeden Fall der Benutzer Schuld ist und dann weiter wie bisher.
Fangen wir bei den CAs an, die ein Cert für code signing als Datei rausgeben statt auf einem USB-HSM/Dongle. In unserer Firma sind die Sticks in einem Wandtresor der Nutzer und Uhrzeit loggt, dann hat man auch direkt einen Schuldigen.
Bei anderen Firmen liegt die Datei auf einem dem Internet zugänglichem System.
Wir kommen halt langsam an den Punkt, wo automatisierte (Hintergrund-)Updates mehr Schaden anrichten, als verhindern…
Korrekt. Und als man vor Jahren schon vor genau diesen Szenarien gewarnt hatte, wurde man als technisch rückständig und schlimmeres bezeichnet.
Völlig richtig. Hintergrund-Upds = Kontrollverlust.
Nicht nur hier will wissen was wann passiert und vor allem die Entscheidungsgewalt darüber haben.
Ubuntu ist auch so ein Kandidat, der einem im Hintergrund unter "Ubuntu-Software" einiges drüberbügelt od. unterjubelt (Firefox, Brave, …) – was soll ich mit dem "Müll" auf dem Rechner, von dem ich weiß, dass er in 2-5 Tagen nach aller Erfahrung sowieso "geupated" wird.
Die Frage ist aber auch, warum man die Daemon-Tools heutzutage immer noch installiert, egal ob geschäftlich oder privat. ISOs mounten kann Windows schon länger selbst. Es gillt schon länger, die Angriffsflächen zu verringern, in dem man sich bei der Softwareinstallation entweder auf das Nötigste beschränkt und/oder man wenigstens dafür sorgt, dass alles was da installiert ist oder wird, komplett automatisiert bei Herausgabe einer neuen Version durch den Entwickler aktualisiert wird. Gut, Ok, in diesem speziellen Fall mit der Supply-Chain-Attacke ist letzteres allerdings fatal. Wer jetzt weiterhin die Daemon-Tools noch einsetzt, dem ist nicht mehr zu helfen, der Entwickler ist aus meiner Sicht verbrannt, genauso wie z.B. Solarwinds oder andere genannte Beispiele. xz wäre prinzipiell auch noch zu nennen, auch das war eine Supplychain-Attacke, aber das ist ja alternativlos.
Naja DameonTools Stärken waren ja nicht das reine ISO mounten, die Stärke war das sie entsprechende Cracks mounten konnten… die teure Software/Spiele gratis benutzbar machten…und die Erkennung eben dieser verhinderten.
Willst du jede Firma die irgendwie mal Opfer wurde verbannen, hast du bald nix mehr was du nutzen kannst! Das fängt bei Windows an und hört bei Linux nicht auf!
Nutzung mit Verstand lautet die Devise! Aber ja der ist heutzutage echte Mangelware.
Naja also zumindest Daemon Tools und CCleaner sind jetzt keine Tools die in der Industrie/Verwaltung was zu suchen haben… wer sowas auf Firmenrechner lässt, gehört gefeuert! Fristlos!
Lol, das dachte ich auch, schon der Name ist ja mehr als dubios….und quasi Programm….das ist dann schon fast Karma, wenn man zum Opfer wird.
Macht ja nix, wenn Du manche Sachen nicht kennst.
Dann muss man aber auch nicht zwangsweise 'ne Meinung dazu haben… Wirklich nicht…
Klar kenne ich das Ding, und zwar aus schwer illegalen Kontexten.
Nämlich um illegales (Crack) Zeug laufen zu lassen.
Stichwort Warez (kennste nich mehr ich weiß).
Auf "seriösen"Rechnern hatte das (Oldschool) Dingens noch nie was zu suchen und für Gamer ist es nutzlos geworden.
Aber meinetwegen kannst du dir auch nen Esel im Finanzamt installieren und dich dann über lustige Nebenwirkungen wundern…..
Daemon-Toole hatte nie etwas mit Cracks zu tun, genau das Gegenteil ist der Fall.
Es verhindert den Bedarf an Cracks bei Verwendung von sauberen 1:1 Kopien von Datenträgern.
Außerdem unterstützt es Dateiformate die Windows nicht unterstützt und die auch nicht immer durch .ISO ersetzt werden können (Srichworte: Mixed Mode bzw. Multitrack CDs).
Nicht Rainbow Book(s) gemäße (Un)CDs die bereits beim Pressvorgang bzw. beim Sputtern physisch manipuliert wurden lasssen sich gar nicht 1:1 "sauber" kopieren.
Ein damals gängiger "dreckiger" Kopierschutz.
(SafeDisc, SecuROM…)
Genau hier setzte DT an…
Jeder wusste genau wofür, warum und wieso, aber man kann sich natürlich auch dumm stellen…
Seltsam. Ich hab's hauptsächlich genutzt, um mein CD-Laufwerk auf "langsam & leise" zu stellen.
Aber so sind die Menschen halt unterschiedlich…
Jo…ist aber so ein bisschen mit Kanonen auf Spatzen…
Denn Isos konnte man auch mit Nero oder WinOnCD mounten.
Oder einfach die allseits beliebte und vergleichsweise winzige"CD-Bremse" nutzen…..et cetera.
Wozu brauchtst du im professionellen Umfeld heute noch CD/DVD?
Mein Laptop hat z,B gar kein Laufwerk mehr, und ISOs lädt man sich eh herunter….gibt es überhaupt noch Software die auf Discs vertrieben wird?
Aber Egal…es gibt dafür ja Checksummen.
Oder du wirfst den Link bei Virustotal ein, dann passiert sowas gar nicht erst.
Ich mache mir sogar die Mühe und uploade jedes heruntergeladene Programm.
Better Safe than Sorry, wie der Franzose sagt.
| Oder du wirfst den Link bei Virustotal ein, dann passiert
| sowas gar nicht erst.
Völlig falsche Annahme!
Aus eigener Erfahrung weiß ich: wenn auf VirusTotal kein Scanner anschlägt, heißt das nicht, dass der Link oder ein überprüftes Binary oder Script komplett sauber ist.
Völlig Richtig….aber DIESE Attacke wäre erkannt worden…
Allemal erheblich besser als ohne…und die Checksummen sind ja wohl auch nicht kompromittiert worden.
Am Ende hast du halt immer den Spagat zwischen Hochsicherheit ("komplett sauber") und Praxistauglichkeit, sonst kommst du ja vor lauter Patchereien etc. gar nicht mehr zum arbeiten.
Schaut man sich dann noch die Communitykommentare und die Sandboxen an, kommt man schon recht nah an das heran, was man Früher ™ mal Sicherheit nannte.