Ataki na łańcuch dostaw oprogramowania, w których hakerzy uszkadzają powszechnie używane aplikacje, aby wepchnąć własny kod do tysięcy, a nawet milionów maszyn, stały się plagą, zarówno podstępną, jak i potencjalnie ogromną pod względem zasięgu oddziaływania. Ale ostatni poważny atak na łańcuch dostaw oprogramowania, w którym hakerzy, którzy wydają się działać w imieniu rządu Korei Północnej, ukryli swój kod w instalatorze popularnej aplikacji VoIP znanej jako 3CX, jak dotąd miał prozaiczny cel: włamując się do kilku firm kryptowalutowych.
Badacze z rosyjskiej firmy zajmującej się cyberbezpieczeństwem Kaspersky ujawnili dzisiaj, że zidentyfikowali niewielką liczbę firm skupionych na kryptowalutach jako przynajmniej niektóre ofiary ataku na łańcuch dostaw oprogramowania 3CX, który miał miejsce w ciągu ostatniego tygodnia. Kaspersky odmówił podania nazwy którejkolwiek z tych firm, które padły ofiarą, ale zauważa, że mają one siedzibę w „zachodniej Azji”.
Firmy zajmujące się bezpieczeństwem CrowdStrike i SentinelOne w zeszłym tygodniu przypiąły operację hakerom z Korei Północnej, którzy włamali się do oprogramowania instalacyjnego 3CX używanego przez 600 000 organizacji na całym świecie, według dostawcy. Pomimo potencjalnie ogromnego zasięgu tego ataku, który SentinelOne nazwał „Smooth Operator”, Kaspersky odkrył, że hakerzy przeczesali ofiary zainfekowane jego uszkodzonym oprogramowaniem, aby ostatecznie zaatakować mniej niż 10 maszyn – przynajmniej na tyle, na ile Kaspersky mógł to zaobserwować. daleko – i że wydawało się, że skupiają się na firmach kryptowalutowych z „chirurgiczną precyzją”.
„To wszystko miało na celu skompromitowanie niewielkiej grupy firm, być może nie tylko w dziedzinie kryptowalut, ale widzimy, że jednym z celów atakujących są firmy kryptowalutowe” — mówi Georgy Kucherin, badacz z WIELKIEGO zespołu analityków bezpieczeństwa firmy Kaspersky . „Firmy kryptowalutowe powinny być szczególnie zaniepokojone tym atakiem, ponieważ są prawdopodobnymi celami i powinny przeskanować swoje systemy w poszukiwaniu dalszych zagrożeń”.
Firma Kaspersky oparła ten wniosek na odkryciu, że w niektórych przypadkach hakerzy łańcucha dostaw 3CX wykorzystali swój atak do ostatecznego umieszczenia wszechstronnego programu typu backdoor znanego jako Gopuram na komputerach ofiar, który badacze opisują jako „ostatni ładunek w łańcuchu ataków. ” Kaspersky twierdzi, że pojawienie się tego złośliwego oprogramowania jest również północnokoreańskim odciskiem palca: Gopuram był już wcześniej używany w tej samej sieci, co inny szkodliwy program, znany jako AppleJeus, powiązany z hakerami z Korei Północnej. Wcześniej widziano również, że Gopuram łączy się z tą samą infrastrukturą dowodzenia i kontroli, co AppleJeus, i widział, jak Gopuram był wcześniej używany do atakowania firm kryptowalutowych. Wszystko to sugeruje nie tylko, że atak 3CX został przeprowadzony przez północnokoreańskich hakerów, ale że mógł on mieć na celu włamanie się do firm kryptowalutowych w celu kradzieży od tych firm, co jest powszechną taktyką północnokoreańskich hakerów, którzy nakazali zbieranie pieniędzy na reżim Kim Dzong Una.
Wykorzystywanie łańcuchów dostaw oprogramowania w celu uzyskania dostępu do sieci tysięcy organizacji stało się powracającym tematem dla wyrafinowanych, sponsorowanych przez państwo hakerów, tylko po to, by skupić się na kilku ofiarach. Na przykład w słynnej kampanii szpiegowskiej Solar Winds w 2020 r. rosyjscy hakerzy włamali się do oprogramowania monitorującego IT Orion, aby przesłać złośliwe aktualizacje do około 18 000 ofiar, ale wydaje się, że ukradli dane tylko kilkudziesięciu z nich. We wcześniejszym włamaniu do łańcucha dostaw oprogramowania CCleaner chińska grupa hakerów znana jako Barium lub WickedPanda naruszyła aż 700 000 komputerów osobistych, ale podobnie zdecydowała się zaatakować stosunkowo krótką listę firm technologicznych.
