software supply chain-aanvallen, Terwijl hackers veelgebruikte applicaties corrumperen om hun code op duizenden of zelfs miljoenen apparaten te pushen, wordt dit een ramp, zowel kwaadaardig als potentieel enorm qua invloed. Maar de laatste grote aanval op de toeleveringsketen van software, waarbij hackers namens de Noord-Koreaanse regering leken te werken, hun code verborgen in het installatieprogramma voor een VoIP-app die bekend staat als 3CX, had een gelikt doel: inbreken in een paar cryptocurrency-bedrijven.
Onderzoekers van het Russische cyberbeveiligingsbedrijf Kaspersky hebben vandaag onthuld dat ze een klein aantal op cryptocurrency gerichte bedrijven hebben geïdentificeerd als ten minste enkele van de slachtoffers van een 3CX-software supply chain-aanval die de afgelopen week is onthuld. Kaspersky weigerde een van die slachtofferbedrijven te noemen, maar merkte op dat ze in ‘West-Azië’ zijn gevestigd.
Beveiligingsbedrijven CrowdStrike en SentinelOne installeerden vorige week het proces op Noord-Koreaanse hackers, die volgens de leverancier het 3CX-installatieprogramma in gevaar brachten dat wereldwijd door 600.000 organisaties wordt gebruikt. Ondanks de potentieel enorme schaal van deze aanval, die SentinelOne een “Smooth Operator” noemde, heeft Kaspersky nu ontdekt dat hackers geïnfecteerde slachtoffers hebben uitgekamd met hun corrupte software om zich uiteindelijk op minder dan 10 apparaten te richten – althans voor zover Kaspersky kan opmerken. Weg – en ze lijken zich “heel precies” te concentreren op cryptocurrency-bedrijven.
“Dit was allemaal alleen maar om een concessie te doen aan een kleine groep bedrijven, misschien niet alleen in de cryptocurrency-ruimte, maar wat we zien is dat een van de aanvallers’ belangen de cryptocurrency-bedrijven zijn”, zegt Georgy Kuchran, een onderzoeker in de GEWELDIG team van beveiligingsanalisten bij Kaspersky. . “Cryptocurrency-bedrijven zouden zich in het bijzonder zorgen moeten maken over deze aanval, aangezien ze potentiële doelwitten zijn, en ze zouden hun systemen moeten onderzoeken op verdere compromissen.”
Kaspersky baseerde deze conclusie op de ontdekking dat de hackers van de 3CX-toeleveringsketen in sommige gevallen hun aanval gebruikten om een veelzijdige achterdeur, bekend als Gopuram, op de machines van de slachtoffers te implanteren, die onderzoekers omschrijven als “de laatste lading in de aanvalsketen”. de opkomst van deze malware Het vertegenwoordigt ook een Noord-Koreaanse voetafdruk: ik heb gezien dat Gopuram eerder op hetzelfde netwerk werd gebruikt als een ander stuk malware, bekend als AppleJeus, gekoppeld aan Noord-Koreaanse hackers. We hebben ook eerder gezien dat Gopuram verbonden was met dezelfde commando- en controle-infrastructuur als AppleJeus, en we hebben eerder gezien dat Gopuram werd gebruikt om cryptocurrency-bedrijven te targeten. Dit alles geeft niet alleen aan dat de 3CX-aanval is uitgevoerd door Noord-Koreaanse hackers, maar dat deze mogelijk gericht was op het hacken van cryptocurrency-bedrijven om van die bedrijven te stelen, een veelgebruikte tactiek van Noord-Koreaanse hackers die geld inzamelen voor het bedrijf. . Kim Jong Un-regime.
Het is een veel voorkomend thema geworden voor geavanceerde, door de staat gesponsorde hackers om softwaretoeleveringsketens uit te buiten om toegang te krijgen tot de netwerken van duizenden organisaties, om vervolgens hun aandacht te filteren op een paar slachtoffers. In 2020 hebben Russische hackers bijvoorbeeld de Orion IT-bewakingssoftware doorbroken om kwaadaardige updates naar ongeveer 18.000 slachtoffers te pushen, maar blijkbaar hebben ze slechts gegevens gestolen van enkele tientallen van hen. In de vorige supply chain-oplossing van CCleaner maakte een Chinese hackergroep, bekend als Barium of WickedPanda, maar liefst 700.000 computers in gevaar, maar koos er ook voor om zich te richten op een relatief korte lijst van technologiebedrijven.