В последние недели индустрия кибербезопасности пыталась понять происхождение и последствия взлома 3CX, провайдера VoIP, чье программное обеспечение было повреждено хакерами, связанными с Северной Кореей, в ходе атаки по цепочке поставок, которая распространила вредоносное ПО потенциально сотням тысяч клиентов компании.
Компания по кибербезопасности Mandiant теперь имеет ответ на загадку, как 3CX была проникнута этими хакерами, спонсируемыми государством: Эта компания была одной из несметного числа жертв, зараженных поврежденным программным обеспечением другой компании - редкий, а возможно, даже беспрецедентный пример того, как одна группа хакеров использовала одну атаку по цепочке поставок программного обеспечения для осуществления второй. Это можно назвать реакцией цепи поставок.
Сегодня компания Mandiant обнаружила нулевого пациента этой широкомасштабной хакерской операции, которая затронула значительную часть из 600 000 клиентов 3CX. По данным Mandiant, ПК сотрудника 3CX был взломан в результате более ранней атаки по цепочке поставок программного обеспечения, которая захватила приложение финансовой компании Trading Technologies, проведенной теми же хакерами, которые взломали 3CX. Эта хакерская группа, известная как Kimsuky, Emerald Sleet или Velvet Chollima, по общему мнению, работает от имени северокорейского режима.
Mandiant утверждает, что хакерам каким-то образом удалось подсунуть код бэкдора в приложение, доступное на сайте Trading Technology под названием X_Trader. Это зараженное приложение, будучи установленным на компьютер сотрудника 3CX, позволило хакерам распространить свой доступ через сеть 3CX, добраться до сервера, используемого 3CX для разработки программного обеспечения, испортить приложение-установщик 3CX и заразить широкий круг своих клиентов, сообщает Mandiant.
"Это первый случай, когда мы обнаружили конкретные доказательства того, что атака на цепочку поставщиков программного обеспечения привела к другой атаке на цепочку поставщиков программного обеспечения", - говорит главный технический директор Mandiant Consulting Чарльз Кармакал. "Так что для нас это очень важно".
Mandiant говорит, что компания Trading Technologies не нанимала ее для расследования первоначальной атаки, которая использовала ее программное обеспечение X_Trader, поэтому она не знает, как хакеры изменили приложение Trading Technologies и сколько жертв, помимо 3CX, могло быть от взлома этого торгового приложения. Компания отмечает, что Trading Technologies прекратила поддержку X_Trader в 2020 году, хотя приложение все еще было доступно для загрузки до 2022 года. На основании цифровой подписи поврежденного вредоносного ПО X_Trader компания Mandiant считает, что взлом цепочки поставок Trading Technologies произошел до ноября 2021 года, а последующая атака на цепочку поставок 3CX - только в начале этого года.
Представитель Trading Technologies сообщил WIRED, что компания предупреждала пользователей в течение 18 месяцев, что X_Trader перестанет поддерживаться в 2020 году, и что, учитывая, что X_Trader - это инструмент для профессионалов трейдинга, нет причин устанавливать его на машину 3CX. Представитель добавил, что 3CX не является клиентом Trading Technologies, и что любая компрометация приложения X_Trader не влияет на ее текущее программное обеспечение. Компания 3CX не ответила на просьбу WIRED о комментарии.
Что именно северокорейские хакеры пытались достичь своими взаимосвязанными атаками на цепочки поставок программного обеспечения, до сих пор не совсем ясно, но, похоже, их мотивом отчасти была простая кража. Две недели назад компания по кибербезопасности Касперского сообщила, что по крайней мере несколько жертв, на которых было направлено поврежденное приложение 3CX, были криптовалютными компаниями, расположенными в "Западной Азии", хотя она отказалась назвать их. Касперский обнаружил, что, как это часто бывает при массовых атаках на цепочки поставок программного обеспечения, хакеры просеяли своих потенциальных жертв и передали часть вредоносной программы второго этапа лишь крошечной части из этих сотен тысяч взломанных сетей, нацелившись на них с "хирургической точностью".