האקרים מסין פתחו במתקפה על כלי פופולרי בקרב משתמשי Windows

האקרים סינים שתלו דלת אחורית בכלי פופולרי בקרב משתמשי Windows, במסגרת מתקפה גלובלית "רחבת היקף" – כך לפי חוקרי האבטחה של קספרסקי. המצב החדש מסכן עשרות אלפי מחשבים ברחבי העולם.

בפוסט שפרסמה אתמול (ג') ענקית הגנת הסייבר הרוסית כתבו החוקרים כי הם זיהו דלת אחורית זדונית, שהושתלה ב- Daemon Tools- תוכנת הדמיית דיסקים פופולרית בסביבת Windows. הכלים מאפשרים ליצור כוננים אופטיים וירטואליים על המחשב, להרצת קבצי תמונה בלא צורך בדיסק פיזי.

לפי החוקרים, "נתונים שנאספו ממחשבים ברחבי העולם שמריצים את תוכנת האנטי וירוס שלנו מעידים על מתקפה נרחבת ביותר, שמכוונת לאלפי מחשבים מבוססי Windows שמריצים את הכלים הללו".

בהתבסס על ניתוח הנוזקה, החוקרים קבעו כי ההאקרים הם מסין. לדבריהם, התוקפים השתמשו בדלת האחורית ב-Daemon Tools כדי לשתול נוזקות נוספות. הם עשו זאת באופן נרחב על מחשבי משתמשים מארגונים מ-12 מגזרי תעשייה, ביניהם הקמעונאות, המדע והייצור, וכן במערכות ממשלתיות. לפי קספרסקי, "הפריצה למחשבים הספציפיים הללו מרמזת על מאמץ ממוקד". החוקרים ציינו שהארגונים שהותקפו נמצאים ברוסיה, בלרוס ותאילנד. הם זיהו את הדלת האחורית ב-8 באפריל.

"המתקפה עדיין פעילה"

קספרסקי פנתה לדיסק סופט, החברה שמנהלת את Daemon Tools, ועדכנה אותה בפרטי האירוע. דיסק סופט מסרה כי "אנחנו מודעים לדיווח וכעת חוקרים את האירוע: צוות האבטחה שלנו מתייחס לנושא זה בעדיפות העליונה ופועל לטפל בבעיה. בשלב זה איננו יכולים לאשר פרטים ספציפיים שהוזכרו. עם זאת, אנחנו נוקטים בכל הצעדים הנדרשים כדי לטפל בסיכונים פוטנציאליים ולהבטיח את אבטחת המשתמשים שלנו".

לפי חוקרי קספרסקי, "מתקפת שרשרת האספקה עדיין פעילה" – מה שמרמז שההאקרים עדיין עלולים לשתול נוזקות על עשרות אלפי מחשבים שמריצים את התוכנה.

מומחי אבטחה ציינו כי "מתקפה זו היא האחרונה בשורה של מתקפות שרשרת אספקה, שפגעו במפתחי תוכנה פופולרית בחודשים האחרונים. האקרים מתמקדים יותר ויותר בחשבונות של מפתחים, שעובדים על קוד ותוכנה נפוצים, ומנצלים גישה זו כדי להזריק נוזקה לכל מי שנסמך על התוכנה. בגישה זו, התוקפים יכולים לפרוץ למספר רב של מחשבים,בו זמנית – כאשר הנוזקה שלהם מועברת בזדון, לכאורה כעוד עדכון של תוכנה".

בתחילת 2026, האקרים שקשורים לממשלת סין גנבו את תוכנת עריכת הטקסט הפופולרית Notepad של מיקרוסופט, ובאמצעותה הזריקו נוזקות לארגונים במזרח אסיה. מתקפה נוספת, מאפריל השנה, כיוונה מתקפות למשתמשים שביקרו באתר CPUID. האתר כולל את כלי HWMonitor ו-CPU-Z, "הפופולריים ביותר". חוקרים עצמאיים ועיתונאים בדקו גם הם את כלי התוכנה באמצעות שירות סריקת הנוזקות וירוס טוטאל – ואכן נמצאה בה דלת אחורית. לא ניתן היה לקבוע האם גרסת ה-macOS של Daemon Tools נפרצה, או אם אפליקציות אחרות שפותחו על ידי דיסק סופט הושפעו מהמתקפות.