W ostatnich tygodniach branża bezpieczeństwa cybernetycznego gorączkowo starała się zrozumieć pochodzenie i skutki ataku na 3CX, dostawcę VoIP, którego oprogramowanie zostało zAInfekowane przez hakerów powiązanych z Koreą Północną w ataku na łańcuch dostaw, który rozprzestrzenił złośliwe oprogramowanie na potencjalnie setki tysięcy klientów. Firma bezpieczeństwa cybernetycznego Mandiant ma teraz odpowiedź na zagadkę, jak 3CX zostało złamane przez tych wspieranych przez państwo hakerów: firma była jedną z niezliczonych ofiar zAInfekowanych skorumpowanym oprogramowaniem innej firmy – rzadkiego, a może nawet bezprecedensowego przykładu, jak jedna grupa hakerów wykorzystała jeden atak na łańcuch dostaw oprogramowania do przeprowadzenia drugiego. Nazwijmy to reakcją łańcuchową łańcucha dostaw.

Odkrycie pacjenta zero

Dzisiaj Mandiant ujawnił, że znalazł pacjenta zero dla tej szeroko zakrojonej operacji hakerskiej, która dotknęła znaczną część 600 000 klientów 3CX. Według Mandiant, komputer pracownika 3CX został zhakowany poprzez wcześniejszy atak na łańcuch dostaw oprogramowania, który przejął aplikację firmy finansowej Trading Technologies, przeprowadzony przez tych samych hakerów, którzy złamali 3CX. Ta grupa hakerów, znana jako Kimsuky, Emerald Sleet lub Velvet Chollima, jest powszechnie uważana za działającą w imieniu reżimu północnokoreańskiego.

Szlak ataku

Mandiant twierdzi, że hakerzy w jakiś sposób zdołali wsunąć kod tylnych drzwi do aplikacji dostępnej na stronie internetowej Trading Technologies, znanej jako X_Trader. Ta zAInfekowana aplikacja, gdy została później zAInstalowana na komputerze pracownika 3CX, umożliwiła hakerom rozprzestrzenienie dostępu przez sieć 3CX, dotarcie do serwera wykorzystywanego przez 3CX do rozwoju oprogramowania, skorumpowanie aplikacji instalacyjnej 3CX i zAInfekowanie szerokiej gamy klientów, według Mandiant.

Bezprecedensowy atak

To pierwszy raz, kiedy znaleźliśmy konkretne dowody na to, że atak na łańcuch dostaw oprogramowania doprowadził do kolejnego ataku na łańcuch dostaw oprogramowania, mówi Charles Carmakal, dyrektor ds. technologii w Mandiant Consulting. Więc to jest bardzo duże i bardzo znaczące dla nas.

Wpływ na trading technologies

Mandiant mówi, że nie został zatrudniony przez Trading Technologies do zbadania pierwotnego ataku, który wykorzystał ich oprogramowanie X_Trader, więc nie wie, jak hakerzy zmienili aplikację Trading Technologies ani ilu ofiar, oprócz 3CX, mogło być ofiarami kompromisu tej aplikacji handlowej. Firma zauważa, że Trading Technologies przestało wspierać X_Trader w 2020 roku, chociaż aplikacja była nadal dostępna do pobrania do 2022 roku. Mandiant uważa, że na podstawie podpisu cyfrowego na skorumpowanym złośliwym oprogramowaniu X_Trader, kompromis łańcucha dostaw Trading Technologies nastąpił przed listopadem 2021 roku, ale atak na łańcuch dostaw 3CX nie nastąpił aż do początku tego roku.

Oświadczenie trading technologies

Rzecznik Trading Technologies powiedział WIRED, że firma ostrzegała użytkowników przez 18 miesięcy, że X_Trader nie będzie już wspierany w 2020 roku i że, biorąc pod uwagę, że X_Trader jest narzędziem dla profesjonalistów handlowych, nie ma powodu, aby był instalowany na maszynie 3CX. Rzecznik dodał, że 3CX nie był klientem Trading Technologies i że żadne naruszenie aplikacji X_Trader nie wpływa na jego obecne oprogramowanie. 3CX nie odpowiedziało na prośbę WIRED o komentarz.

Motywacja hakerów

Dokładnie to, co północnokoreańscy hakerzy chcieli osiągnąć swoimi powiązanymi atakami na łańcuch dostaw oprogramowania, nie jest jeszcze do końca jasne, ale wydaje się, że było to częściowo motywowane prostą kradzieżą. Dwa tygodnie temu firma bezpieczeństwa cybernetycznego Kaspersky ujawniła, że ​​przynajmniej garstka ofiar, które zostały zaatakowane skorumpowanym oprogramowaniem 3CX, to firmy związane z kryptowalutami z zachodniej Azji, chociaż odmówiła ich nazwania. Kaspersky odkrył, że, jak to często bywa w przypadku masowych ataków na łańcuch dostaw oprogramowania, hakerzy przesiali potencjalne ofiary i dostarczyli kawałek złośliwego oprogramowania drugiej fazy tylko niewielkiej części tych setek tysięcy skompromITowanych sieci, atakując je z chirurgiczną precyzją.

Skupienie się na kryptowalutach

Mandiant zgadza się, że przynajmniej jednym celem powiązanych z Koreą Północną hakerów jest niewątpliwie kradzież kryptowalut: wskazuje na wcześniejsze ustalenia grupy analizy zagrożeń Google , że AppleJeus, złośliwe oprogramowanie powiązane z tymi samymi hakerami, zostało wykorzystane do ataku na usługi kryptowalutowe poprzez lukę w przeglądarce Google Chrome. Mandiant odkrył również, że te same tylne drzwi w oprogramowaniu 3CX zostały wstawione do innej aplikacji kryptowalutowej, CoinGoTrade, i że dzieliła infrastrukturę z inną aplikacją handlową z tylnymi drzwiami, JMT Trading.

Szerszy obraz

Wszystko to, w połączeniu z atakowaniem przez tę grupę Trading Technologies, wskazuje na skupienie się na kradzieży kryptowalut, mówi Ben Read, szef wywiadu zagrożeń cybernetycznych w Mandiant. Szeroko zakrojony atak na łańcuch dostaw, taki jak ten, który wykorzystał oprogramowanie 3CX, pozwoliłby ci dostać się w miejsca, gdzie ludzie zajmują się pieniędzmi, mówi Read. To grupa silnie skupiona na monetyzacji.
Ale Carmakal z Mandiant zauważa, że ​​biorąc pod uwagę skalę tych ataków na łańcuch dostaw, ofiary skupiające się na kryptowalutach mogą być tylko wierzchołkiem góry lodowej. Myślę, że z czasem dowiemy się o wielu innych ofiarach w związku z jednym z tych dwóch ataków na łańcuch dostaw oprogramowania, mówi.

Historia powtarza się

Chociaż Mandiant opisuje kompromisy Trading Technologies i 3CX jako pierwszy znany przypadek, kiedy jeden atak na łańcuch dostaw doprowadził do drugiego, badacze spekulują od lat, czy inne takie incydenty były podobnie powiązane. Chińska grupa znana jako Winnti lub Brass Typhoon na przykład przeprowadziła nie mniej niż sześć ataków na łańcuch dostaw oprogramowania od 2016 do 2019 roku . A w niektórych z tych przypadków metoda pierwotnego naruszenia przez hakerów nigdy nie została odkryta i mogła być wynikiem wcześniejszego ataku na łańcuch dostaw.
Carmakal z Mandiant zauważa, że ​​istniały również oznaki, że rosyjscy hakerzy odpowiedzialni za notoryczny atak na łańcuch dostaw SolarWinds również prowadzili rozpoznanie serwerów rozwoju oprogramowania w niektórych swoich ofiarach i być może planowali kolejny atak na łańcuch dostaw, gdy zostali zakłóceni.
W końcu grupa hakerów […]