Le piratage massif de la chaîne d’approvisionnement 3CX ciblait les entreprises de crypto-monnaie
Les attaques de la chaîne d’approvisionnement logicielle, dans lesquelles les pirates corrompent des applications largement utilisées pour pousser leur propre code sur des milliers, voire des millions de machines, sont devenues un fléau, à la fois insidieux et potentiellement énorme dans l’ampleur de leur impact. Mais la dernière attaque majeure de la chaîne d’approvisionnement logicielle, dans laquelle des pirates qui semblent travailler pour le compte du gouvernement nord-coréen ont caché leur code dans le programme d’installation d’une application VoIP commune connue sous le nom de 3CX, semble jusqu’à présent avoir eu un objectif prosaïque : entrer par effraction dans une poignée de sociétés de crypto-monnaie.
Les chercheurs de la société russe de cybersécurité Kaspersky ont révélé aujourd’hui qu’ils avaient identifié un petit nombre d’entreprises axées sur la crypto-monnaie comme au moins certaines des victimes de l’attaque de la chaîne d’approvisionnement logicielle 3CX qui s’est déroulée la semaine dernière. Kaspersky a refusé de nommer l’une de ces entreprises victimes, mais il note qu’elles sont basées en « Asie occidentale ».
Les sociétés de sécurité CrowdStrike et SentinelOne ont épinglé la semaine dernière l’opération sur des pirates nord-coréens, qui ont compromis le logiciel d’installation 3CX utilisé par 600 000 organisations dans le monde, selon le fournisseur. Malgré l’ampleur potentiellement massive de cette attaque, que SentinelOne a surnommée « Smooth Operator », Kaspersky a maintenant découvert que les pirates ont passé au peigne fin les victimes infectées par son logiciel corrompu pour finalement cibler moins de 10 machines, du moins pour ce que Kaspersky a pu observer. loin – et qu’ils semblaient se concentrer sur les entreprises de crypto-monnaie avec une «précision chirurgicale».
« Ce n’était que pour compromettre un petit groupe d’entreprises, peut-être pas seulement dans la crypto-monnaie, mais ce que nous voyons, c’est que l’un des intérêts des attaquants est les entreprises de crypto-monnaie », explique Georgy Kucherin, chercheur au sein de l’équipe d’analystes en sécurité GReAT de Kaspersky. . « Les sociétés de crypto-monnaie devraient être particulièrement préoccupées par cette attaque car elles sont les cibles probables, et elles devraient analyser leurs systèmes pour rechercher d’autres compromis. »
Kaspersky a fondé cette conclusion sur la découverte que, dans certains cas, les pirates de la chaîne d’approvisionnement 3CX ont utilisé leur attaque pour finalement planter un programme de porte dérobée polyvalent connu sous le nom de Gopuram sur les machines victimes, que les chercheurs décrivent comme « la charge utile finale dans la chaîne d’attaque ». ” Kaspersky affirme que l’apparition de ce logiciel malveillant représente également une empreinte digitale nord-coréenne : Gopuram a déjà été utilisé sur le même réseau qu’un autre logiciel malveillant, connu sous le nom d’AppleJeus, lié à des pirates nord-coréens. Il a également déjà vu Gopuram se connecter à la même infrastructure de commande et de contrôle qu’AppleJeus, et a déjà vu Gopuram utilisé pour cibler les entreprises de crypto-monnaie. Tout cela suggère non seulement que l’attaque 3CX a été menée par des pirates nord-coréens, mais qu’elle a peut-être été destinée à violer des entreprises de crypto-monnaie afin de voler ces entreprises, une tactique courante des pirates nord-coréens qui ont reçu l’ordre de collecter des fonds pour le régime de Kim Jong-Un.
C’est devenu un thème récurrent pour les pirates informatiques sophistiqués parrainés par l’État d’exploiter les chaînes d’approvisionnement de logiciels pour accéder aux réseaux de milliers d’organisations, pour ne se concentrer que sur quelques victimes. Dans la célèbre campagne d’espionnage Solar Winds de 2020, par exemple, des pirates informatiques russes ont compromis le logiciel de surveillance informatique Orion pour envoyer des mises à jour malveillantes à environ 18 000 victimes, mais ils semblent avoir volé des données à seulement quelques dizaines d’entre elles. Dans la précédente compromission de la chaîne d’approvisionnement du logiciel CCleaner, le groupe de pirates chinois connu sous le nom de Barium ou WickedPanda a compromis jusqu’à 700 000 PC, mais a également choisi de cibler une liste relativement courte d’entreprises technologiques.
« Cela devient très courant », déclare Kucherin, qui a également travaillé sur l’analyse de SolarWinds et a trouvé des indices reliant cette attaque de la chaîne d’approvisionnement à un groupe russe connu. « Lors des attaques de la chaîne d’approvisionnement, l’acteur de la menace effectue une reconnaissance des victimes, collecte des informations, puis filtre ces informations, sélectionnant les victimes pour déployer un malware de deuxième étape. » Ce processus de filtrage est conçu pour aider les pirates à éviter la détection, souligne Kucherin, car le déploiement du logiciel malveillant de deuxième étape sur un trop grand nombre de victimes permet à l’attaque d’être plus facilement détectée.
Mais Kucherin note que l’attaque de la chaîne d’approvisionnement 3CX a néanmoins été détectée relativement rapidement, par rapport aux autres. L’installation du logiciel malveillant initial que les pirates semblaient utiliser pour la reconnaissance a été détectée par des entreprises comme CrowdStrike et SentinelOne la semaine dernière, moins d’un mois après son déploiement. « Ils ont essayé d’être furtifs, mais ils ont échoué », dit Kucherin. « Leurs implants de première étape ont été découverts. »
Compte tenu de cette détection, le succès de la campagne n’est pas clair. Kucherin dit que Kaspersky n’a vu aucune preuve de vol réel de crypto-monnaie des entreprises qu’il a vues ciblées par le malware Gopuram.
Mais étant donné les centaines de milliers de victimes potentielles de la compromission de la chaîne d’approvisionnement de 3CX, personne ne devrait encore conclure que seules les sociétés de cryptographie ont été ciblées, déclare Tom Hegel, chercheur en sécurité chez SentinelOne. « La théorie actuelle à ce stade est que les attaquants ont initialement ciblé les entreprises de cryptographie pour entrer dans ces organisations de grande valeur », déclare Hegel. « Je suppose qu’une fois qu’ils ont vu le succès de cela, et les types de réseaux dans lesquels ils se trouvaient, d’autres objectifs sont probablement entrés en jeu. »
Pour l’instant, dit Hegel, aucune entreprise de sécurité ne peut voir toute la forme de la campagne de piratage 3CX ou énoncer définitivement ses objectifs. Mais si les pirates nord-coréens ont vraiment compromis un logiciel utilisé par 600 000 organisations à travers le monde et l’ont utilisé uniquement pour essayer de voler la crypto-monnaie d’une poignée d’entre eux, ils ont peut-être jeté les clés d’un royaume beaucoup plus vaste.
« Tout se déroule très rapidement. Je pense que nous continuerons à mieux comprendre les victimes », déclare Hegel. « Mais du point de vue des attaquants, s’ils n’ont fait que cibler des entreprises de cryptographie, c’était une opportunité dramatiquement gâchée. »