Σε μια λεπτομερή ανάλυση της κυβερνοεπίθεσης που διείσδυσε στον πάροχο εταιρικών τηλεφώνων 3CX, οι υπεύθυνοι αντιμετώπισης περιστατικών διαπίστωσαν ότι προκλήθηκε από μια άλλη επίθεση στην αλυσίδα εφοδιασμού.
Δείτε επίσης: Οι ομάδες ransomware χρησιμοποιούν το AuKill για να απενεργοποιήσουν το EDR software
Η 3CX, της οποίας το τηλεφωνικό σύστημα λογισμικού χρησιμοποιείται από 600.000 οργανισμούς παγκοσμίως και 12 εκατομμύρια καθημερινούς χρήστες, συνεργάστηκε με την Mandiant -μια εταιρεία ασφάλειας- για να αξιολογήσει το περιστατικό. Στην ανακοίνωση που εξέδωσε την Πέμπτη, η Mandiant ανέφερε ότι οι χάκερ είχαν εκμεταλλευτεί την 3CX χρησιμοποιώντας ένα οικονομικό πρόγραμμα X_Trader που είχε μολυνθεί με κακόβουλο λογισμικό από την Trading Technologies.
Παρά τη σταδιακή απόσυρσή του το 2020, το X_Trader ήταν ακόμη διαθέσιμο για λήψη από τον ιστότοπο της Trading Technologies δύο χρόνια αργότερα, σύμφωνα με τη Mandiant. Αυτή η πλατφόρμα επέτρεπε στους συναλλασσόμενους τη δυνατότητα προβολής τόσο των αγορών σε πραγματικό χρόνο όσο και των ιστορικών αγορών.
Η Mandiant πιστεύει ότι τον ιστότοπο της Trading Technologies παραβίασε μια ομάδα hacking που υποστηρίζεται από το κράτος της Βόρειας Κορέας, την οποία ονομάζει UNC4736.
Δείτε επίσης: Οι χάκερ εκμεταλλεύονται ενεργά το κρίσιμο RCE bug στους PaperCut servers
Σύμφωνα με έκθεση της ομάδας ανάλυσης απειλών της Google από το 2021, ο ιστότοπος της Trading Technologies παραβίαστηκε τον Φεβρουάριο του 2022 στο πλαίσιο της αποστολής της Βόρειας Κορέας να εκμεταλλευτεί δεκάδες χρήστες κρυπτονομισμάτων και fintech. Ο οργανισμός κυβερνοασφάλειας CISA δήλωσε ότι η ομάδα hacking εφάρμοσε το ειδικό κακόβουλο λογισμικό “AppleJeus” για να κλέψει ψηφιακό νόμισμα από 30 χώρες σε όλο τον κόσμο.
Όπως αποκάλυψε η Mandiant, ένας χάκερ κατάφερε να πλαστογραφήσει ψηφιακά την υπογραφή του πιστοποιητικού υπογραφής κώδικα της 3CX τον Απρίλιο του 2022 και να το ανεβάσει στον ιστότοπο της Trading Technologies. Κατά συνέπεια, ένας υπάλληλος της 3CX κατέβασε εν αγνοία του αυτή την τροποποιημένη έκδοση του λογισμικού X_Trader, χωρίς να λάβει καμία ένδειξη ότι κάτι δεν πήγαινε καλά.
Μετά την εγκατάσταση, το κακόβουλο λογισμικό δημιούργησε ένα backdoor στο σύστημα του υπαλλήλου, παρέχοντας στους επιτιθέμενους πλήρη πρόσβαση σε αυτό. Αυτό το προνόμιο χρησιμοποιήθηκε στη συνέχεια για να περιηγηθούν στο δίκτυο της 3CX και, τέλος, να διεισδύσουν στο flagship desktop phone app τους, προκειμένου να εγκαταστήσουν κακόβουλο λογισμικό για την κλοπή δεδομένων στα εταιρικά δίκτυα των πελατών τους.
Στις 11 Απριλίου, η Mandiant κοινοποίησε την ειδοποίηση στην Trading Technologies σχετικά με την πιθανή παραβίαση. Δυστυχώς, δεν υπάρχει ακόμη οριστική απάντηση σχετικά με το πόσοι χρήστες μπορεί να έχουν επηρεαστεί.
Δείτε επίσης: Παραβίαση Microsoft SQL servers για ανάπτυξη του Trigona ransomware
Η Ellen Resnick, εκπρόσωπος της Trading Technologies, ενημέρωσε το TechCrunch ότι η εταιρεία δεν έχει ακόμη επιβεβαιώσει τις ανακαλύψεις της Mandiant. Επιπλέον, τόνισε ότι έπαψαν να προσφέρουν υποστήριξη για το συγκεκριμένο λογισμικό το 2020.
Με μεγάλη βεβαιότητα, ο Carmakel της Mandiant πιστεύει ότι πολλοί ακόμη στόχοι των δύο επιθέσεων στην αλυσίδα εφοδιασμού θα εκτεθούν στο άμεσο μέλλον.
Πηγή πληροφοριών: techcrunch.com
