Popüler sanal sürücü yazılımı Daemon Tools‘un resmi web sitesi, siber saldırganlar tarafından ele geçirildi. Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT)‘in tespit ettiği tedarik zinciri saldırısında, kullanıcılara sunulan yükleyiciye gizlice bir arka kapı (backdoor) yerleştirildi. Bu sayede saldırganlar, enfekte cihazları uzaktan kontrol edebiliyor ve istenilen komutu çalıştırabiliyor.
Saldırının Kronolojisi ve Kapsamı
Kaspersky telemetri verilerine göre, saldırganlar 8 Nisan 2026‘dan itibaren değiştirilmiş yazılım sürümlerini doğrudan Daemon Tools’un ana alan adı üzerinden dağıtmaya başladı. Zararlı yazılım, geçerli bir geliştirici dijital sertifikasıyla imzalanarak güvenlik yazılımlarını atlatmayı başardı. Saldırı, Daemon Tools’un 12.5.0.2421 sürümünden en güncel sürüme kadar tüm versiyonlarını etkiliyor. Kaspersky, durumu yazılımın geliştiricisi AVB Disc Soft‘a bildirdi.
Enfekte güncellemeler 100’den fazla ülke ve bölgeye yayılmış durumda. Mağdurların büyük kısmı Türkiye, Rusya, Brezilya, İspanya, Almanya, Fransa, İtalya ve Çin‘de bulunuyor. Etkilenen sistemlerin %10’u ticari işletmelere ve kurumlara ait; bu durum, kurumsal ağlar için ciddi ikincil riskler oluşturuyor.
Saldırganların Yöntemleri ve Hedefleri
Disk emülasyon yazılımları, düşük seviyeli sistem erişimi gerektirdiğinden kullanıcılar genellikle kurulum sırasında yüksek yönetici ayrıcalıkları tanıyor. Saldırganlar bu güven mekanizmasını kullanarak zararlı yazılımı işletim sistemine derinlemesine yerleştirdi. Analizler, yasal uygulama ikili dosyalarının manipüle edildiğini ve kalıcılık sağlamak için yasal bir Windows hizmetinin istismar edildiğini gösteriyor.
Kaspersky GReAT ekibi, perakende, bilim, kamu ve imalat sektörlerindeki ondan fazla makinede saldırganların manuel olarak ek zararlı yükler (shellcode injector ve daha önce tanımlanmamış Uzaktan Erişim Truva Atları – RAT) yerleştirdiğini gözlemledi. Komutlardaki yazım hataları ve tutarsızlıklar, bu faaliyetlerin belirli hedeflere yönelik “elle” (hands-on) yürütüldüğünü kanıtlıyor. Zararlılarda Çince diline ait kalıntılar bulunsa da kampanya henüz bilinen bir tehdit grubuyla ilişkilendirilmiş değil.
Uzman Görüşü ve Öneriler
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Georgy Kucherin, konuyla ilgili şu değerlendirmeyi yaptı:
“Kullanıcılar, resmi bir üreticiden indirilen ve dijital olarak imzalanmış yazılımlara kayıtsız şartsız güvendiği için bu tür bir ihlal geleneksel sınır savunma mekanizmalarını devre dışı bırakıyor. Saldırının yaklaşık bir ay boyunca fark edilmemesi, arkasındaki aktörün sofistike bir yapı olduğunu gösteriyor. Kurumlar, Daemon Tools yüklü makineleri izole etmeli ve kapsamlı güvenlik taramaları yapmalı.”
Kaspersky, tehlikeli yükleyicileri aktif olarak tespit edip engelliyor. Kurumlara, ağlarında Daemon Tools Lite varlığını denetlemeleri, etkilenen uç noktaları izole etmeleri ve yetkisiz komut yürütme ile yanlamasına hareket faaliyetlerini izlemeleri öneriliyor. Bireysel kullanıcıların ise etkilenen uygulamayı derhal kaldırmaları ve sistemlerini derinlemesine taramaları gerekiyor.
Tedarik Zinciri Saldırılarına Karşı Alınması Gereken Önlemler
Kaspersky’nin Mart 2026‘da yayınladığı çalışma, tedarik zinciri saldırılarının son 12 ayda işletmelerin karşılaştığı en yaygın siber tehdit olduğunu, ancak kuruluşların yalnızca %9‘unun bunu öncelikli endişe olarak gördüğünü ortaya koymuştu. Bu tür saldırılara karşı kuruluşlara şu önlemler öneriliyor:
- Yazılım tedarik zincirlerini denetleyin: Üçüncü taraf uygulamaların kullanımına izin vermeden önce üreticinin güvenlik geçmişini değerlendirin ve sektör standartlarına uyumluluğunu doğrulayın.
- Sıkı tedarik ve kullanım protokolleri uygulayın: Tüm yazılımlar için düzenli güvenlik denetimleri zorunlu hale getirin ve çalışan araçlarının iç güvenlik politikalarına uygun olduğundan emin olun.
- Yönetici yetkilerini sınırlandırın: En az ayrıcalık prensibi ve sıfır güven mimarisi gibi önleyici yaklaşımlar uygulayın.
- Sürekli altyapı izleme çözümleri kullanın: Kaspersky Next ürün ailesi gibi XDR çözümleri, ağ trafiğindeki anomalileri gerçek zamanlı tespit etmeye yardımcı olur.
- Olay müdahale senaryolarını güncelleyin: Tedarik zinciri ihlallerini kapsayan planlar oluşturun ve ele geçirilen uygulamaların hızlı şekilde tespit edilip sınırlandırılmasını sağlayın.
Kaynak: Beyaz Haber Ajansı