Attaques de la chaîne d’approvisionnement logicielle, dans lequel les pirates corrompent des applications largement utilisées pour pousser leur propre code sur des milliers, voire des millions de machines, sont devenus un fléau, à la fois insidieux et potentiellement énorme par l’ampleur de leur impact. Mais la dernière attaque majeure de la chaîne d’approvisionnement logicielle, dans laquelle des pirates qui semblent travailler pour le compte du gouvernement nord-coréen ont caché leur code dans le programme d’installation d’une application VoIP commune connue sous le nom de 3CX, semble jusqu’à présent avoir eu un objectif prosaïque : entrer par effraction dans une poignée de sociétés de crypto-monnaie.
Les chercheurs de la société russe de cybersécurité Kaspersky ont révélé aujourd’hui qu’ils avaient identifié un petit nombre d’entreprises axées sur la crypto-monnaie comme au moins certaines des victimes de l’attaque de la chaîne d’approvisionnement logicielle 3CX qui s’est déroulée la semaine dernière. Kaspersky a refusé de nommer l’une de ces entreprises victimes, mais il note qu’elles sont basées en “Asie occidentale”.
Les sociétés de sécurité CrowdStrike et SentinelOne ont épinglé la semaine dernière l’opération sur des pirates nord-coréens, qui ont compromis le logiciel d’installation 3CX utilisé par 600 000 organisations dans le monde, selon le fournisseur. Malgré l’ampleur potentiellement massive de cette attaque, que SentinelOne a surnommée “Smooth Operator”, Kaspersky a maintenant découvert que les pirates ont passé au peigne fin les victimes infectées par son logiciel corrompu pour finalement cibler moins de 10 machines, du moins pour ce que Kaspersky a pu observer. loin – et qu’ils semblaient se concentrer sur les entreprises de crypto-monnaie avec une «précision chirurgicale».
“Ce n’était que pour compromettre un petit groupe d’entreprises, peut-être pas seulement dans la crypto-monnaie, mais ce que nous voyons, c’est que l’un des intérêts des attaquants est les entreprises de crypto-monnaie”, explique Georgy Kucherin, chercheur au sein de l’équipe d’analystes en sécurité GReAT de Kaspersky. . “Les sociétés de crypto-monnaie devraient être particulièrement préoccupées par cette attaque car elles sont les cibles probables, et elles devraient analyser leurs systèmes pour rechercher d’autres compromis.”
Kaspersky a fondé cette conclusion sur la découverte que, dans certains cas, les pirates de la chaîne d’approvisionnement 3CX ont utilisé leur attaque pour finalement planter un programme de porte dérobée polyvalent connu sous le nom de Gopuram sur les machines victimes, que les chercheurs décrivent comme “la charge utile finale dans la chaîne d’attaque”. ” Kaspersky affirme que l’apparition de ce logiciel malveillant représente également une empreinte digitale nord-coréenne : Gopuram a déjà été utilisé sur le même réseau qu’un autre logiciel malveillant, connu sous le nom d’AppleJeus, lié à des pirates nord-coréens. Il a également déjà vu Gopuram se connecter à la même infrastructure de commande et de contrôle qu’AppleJeus, et a déjà vu Gopuram utilisé pour cibler les entreprises de crypto-monnaie. Tout cela suggère non seulement que l’attaque 3CX a été menée par des pirates nord-coréens, mais qu’elle a peut-être été destinée à violer des entreprises de crypto-monnaie afin de voler ces entreprises, une tactique courante des pirates nord-coréens qui ont reçu l’ordre de collecter des fonds pour le régime de Kim Jong-Un.
C’est devenu un thème récurrent pour les pirates informatiques sophistiqués parrainés par l’État d’exploiter les chaînes d’approvisionnement de logiciels pour accéder aux réseaux de milliers d’organisations, pour ne se concentrer que sur quelques victimes. Dans la célèbre campagne d’espionnage Solar Winds de 2020, par exemple, des pirates informatiques russes ont compromis le logiciel de surveillance informatique Orion pour envoyer des mises à jour malveillantes à environ 18 000 victimes, mais ils semblent avoir volé des données à seulement quelques dizaines d’entre elles. Dans la précédente compromission de la chaîne d’approvisionnement du logiciel CCleaner, le groupe de pirates chinois connu sous le nom de Barium ou WickedPanda a compromis jusqu’à 700 000 PC, mais a également choisi de cibler une liste relativement courte d’entreprises technologiques.