Ce que les pirates nord-coréens cherchaient exactement à accomplir avec leurs attaques interconnectées sur la chaîne d’approvisionnement des logiciels n’est toujours pas tout à fait clair, mais cela semble avoir été motivé en partie par un simple vol. Il y a deux semaines, la société de cybersécurité Kaspersky a révélé qu’au moins une poignée des victimes ciblées par l’application 3CX corrompue étaient des sociétés liées à la crypto-monnaie basées en “Asie occidentale”, bien qu’elle ait refusé de les nommer. Kaspersky a constaté que, comme c’est souvent le cas avec les attaques massives de la chaîne d’approvisionnement logicielle, les pirates avaient passé au crible leurs victimes potentielles et n’avaient livré un logiciel malveillant de deuxième étape qu’à une infime partie de ces centaines de milliers de réseaux compromis, les ciblant avec “précision chirurgicale”.
Mandiant convient qu’au moins l’un des objectifs des pirates liés à la Corée du Nord est sans aucun doute le vol de crypto-monnaie : il souligne les conclusions antérieures du groupe d’analyse des menaces de Google selon lesquelles AppleJeus, un logiciel malveillant lié aux mêmes pirates, a été utilisé pour cibler les services de crypto-monnaie via une vulnérabilité dans le navigateur Chrome de Google. Mandiant a également découvert que la même porte dérobée dans le logiciel de 3CX était insérée dans une autre application de crypto-monnaie, CoinGoTrade, et qu’elle partageait l’infrastructure avec une autre application de trading dérobée, JMT Trading.
Tout cela, combiné au ciblage des technologies de trading par le groupe, met l’accent sur le vol de crypto-monnaie, déclare Ben Read, responsable du renseignement sur les menaces de cyberespionnage chez Mandiant. Une attaque à grande échelle de la chaîne d’approvisionnement comme celle qui a exploité le logiciel de 3CX « vous amènerait là où les gens manipulent de l’argent », explique Read. “Il s’agit d’un groupe fortement axé sur la monétisation.”
Mais Carmakal de Mandiant note qu’étant donné l’ampleur de ces attaques de la chaîne d’approvisionnement, les victimes axées sur la cryptographie peuvent encore n’être que la pointe de l’iceberg. “Je pense que nous en apprendrons beaucoup plus sur les victimes au fil du temps en ce qui concerne l’une de ces deux attaques de la chaîne d’approvisionnement logicielle”, dit-il.
Alors que Mandiant décrit les compromissions de Trading Technologies et 3CX comme le premier cas connu d’une attaque de la chaîne d’approvisionnement menant à une autre, les chercheurs ont spéculé pendant des années sur la question de savoir si d’autres incidents de ce type étaient liés de la même manière. Le groupe chinois connu sous le nom de Winnti ou Brass Typhoon, par exemple, a mené pas moins de six attaques sur la chaîne d’approvisionnement de logiciels de 2016 à 2019. Et dans certains de ces cas, la méthode de la violation initiale des pirates n’a jamais été découverte – et pourrait bien provenir d’une attaque antérieure de la chaîne d’approvisionnement.
Carmakal de Mandiant note qu’il y avait également des signes que les pirates informatiques russes responsables de l’attaque notoire de la chaîne d’approvisionnement SolarWinds effectuaient également une reconnaissance sur les serveurs de développement de logiciels à l’intérieur de certaines de leurs victimes, et prévoyaient peut-être une attaque de chaîne d’approvisionnement de suivi lorsqu’ils étaient perturbé.
Après tout, un groupe de pirates capables de mener une attaque contre la chaîne d’approvisionnement parvient généralement à créer un vaste réseau qui attire toutes sortes de victimes, dont certaines sont souvent des développeurs de logiciels qui offrent eux-mêmes un point de vue puissant à partir duquel effectuer un suivi. -sur l’attaque de la chaîne d’approvisionnement, jetant le filet encore une fois. Si 3CX est, en fait, la première entreprise touchée par ce type de réaction de la chaîne d’approvisionnement, il est peu probable que ce soit la dernière.