Certains articles de veille peuvent faire l'objet de traduction automatique.
L’industrie de la cybersécurité s’est efforcé ces dernières semaines de comprendre les origines et les retombées de la violation de 3CX, un fournisseur de VoIP dont le logiciel a été corrompu par des pirates liés à la Corée du Nord lors d’une attaque de la chaîne d’approvisionnement qui a répandu des logiciels malveillants sur potentiellement des centaines de milliers de ses clients. La société de cybersécurité Mandiant a maintenant une réponse au mystère de la façon dont 3CX a été pénétré par ces pirates parrainés par l’État : la société a été l’une des nombreuses victimes infectées par le logiciel corrompu de un autre société – un exemple rare, voire sans précédent, de la façon dont un seul groupe de pirates a utilisé une attaque de la chaîne d’approvisionnement logicielle pour en mener une seconde. Appelez cela une réaction en chaîne de la chaîne d’approvisionnement.
Aujourd’hui, Mandiant a révélé avoir trouvé le patient zéro pour cette opération de piratage généralisée, qui a touché une fraction importante des 600 000 clients de 3CX. Selon Mandiant, le PC d’un employé de 3CX a été piraté lors d’une précédente attaque de la chaîne d’approvisionnement logicielle qui a détourné une application de la société de logiciels financiers Trading Technologies, menée par les mêmes pirates qui ont compromis 3CX. On pense généralement que ce groupe de hackers, connu sous le nom de Kimsuky, Emerald Sleet ou Velvet Chollima, travaille au nom du régime nord-coréen.
Mandiant dit que les pirates ont réussi à glisser un code de porte dérobée dans une application disponible sur le site Web de Trading Technology connue sous le nom de X_Trader. Cette application infectée, lorsqu’elle a ensuite été installée sur l’ordinateur d’un employé de 3CX, a ensuite permis aux pirates de diffuser leur accès via le réseau de 3CX, d’atteindre un serveur utilisé par 3CX pour le développement de logiciels, de corrompre une application d’installation de 3CX et d’infecter un large éventail de ses clients, selon Mandiant.
« C’est la première fois que nous trouvons des preuves concrètes d’une attaque de la chaîne d’approvisionnement logicielle menant à une autre attaque de la chaîne d’approvisionnement logicielle », déclare Charles Carmakal, directeur technique de Mandiant Consulting. « C’est donc très important et très important pour nous. »
Mandiant dit qu’il n’a pas été embauché par Trading Technologies pour enquêter sur l’attaque originale qui a exploité son logiciel X_Trader, donc il ne sait pas comment les pirates ont modifié l’application de Trading Technologies ou combien de victimes – autres que 3CX – il peut y avoir eu de le compromis de cette application de trading. La société note que Trading Technologies avait cessé de prendre en charge X_Trader en 2020, bien que l’application soit toujours disponible au téléchargement jusqu’en 2022. Mandiant estime, sur la base d’une signature numérique sur le logiciel malveillant X_Trader corrompu, que la compromission de la chaîne d’approvisionnement de Trading Technologies s’est produite avant novembre 2021, mais que l’attaque de la chaîne d’approvisionnement de 3CX ne s’est pas produite avant le début de cette année.
Un porte-parole de Trading Technologies a déclaré à WIRED que la société avait averti les utilisateurs pendant 18 mois que X_Trader ne serait plus pris en charge en 2020, et que, étant donné que X_Trader est un outil pour les professionnels du trading, il n’y a aucune raison pour qu’il ait été installé sur un 3CX. machine. Le porte-parole a ajouté que 3CX n’était pas un client de Trading Technologies et que toute compromission de l’application X_Trader n’affecte pas son logiciel actuel. 3CX n’a pas répondu à la demande de commentaire de WIRED.
Ce que les pirates nord-coréens cherchaient exactement à accomplir avec leurs attaques interconnectées de la chaîne d’approvisionnement en logiciels n’est toujours pas tout à fait clair, mais cela semble avoir été motivé en partie par un simple vol. Il y a deux semaines, la société de cybersécurité Kaspersky a révélé qu’au moins une poignée des victimes ciblées par l’application 3CX corrompue étaient des sociétés liées à la crypto-monnaie basées en « Asie occidentale », bien qu’elle ait refusé de les nommer. Kaspersky a constaté que, comme c’est souvent le cas avec les attaques massives de la chaîne d’approvisionnement logicielle, les pirates avaient passé au crible leurs victimes potentielles et n’avaient livré un logiciel malveillant de deuxième étape qu’à une infime partie de ces centaines de milliers de réseaux compromis, les ciblant avec « précision chirurgicale. »
Poster un commentaire