پاسخ دهندگان حادثه که بررسی می کنند چگونه هکرها یک حمله زنجیره تامین پیچیده را با هدف قرار دادن ارائه دهنده تلفن سازمانی 3CX انجام دادند، می گویند که این شرکت توسط یکی دیگر حمله زنجیره تامین
3CX که یک سیستم تلفن مبتنی بر نرم افزار را توسعه می دهد که توسط بیش از 600000 سازمان در سراسر جهان با بیش از 12 میلیون کاربر فعال روزانه استفاده می شود، با شرکت امنیت سایبری Mandiant برای بررسی این حادثه همکاری کرد. Mandiant در گزارش خود که روز پنجشنبه منتشر شد، گفت که مهاجمان 3CX را با استفاده از یک نسخه بدافزار نرمافزار مالی X_Trader که توسط Trading Technologies توسعه داده شده است، به خطر انداختهاند.
X_Trader پلتفرمی بود که توسط معاملهگران برای مشاهده بازارهای بیدرنگ و تاریخی مورد استفاده قرار میگرفت، که Trading Technologies آن را در سال 2020 حذف کرد، اما Mandiant میگوید هنوز برای دانلود از وبسایت شرکت در سال 2022 در دسترس بود.
Mandiant گفت که گمان میکند وبسایت Trading Technologies توسط گروهی از هکرهای تحت حمایت دولت کره شمالی که از آن به عنوان UNC4736 یاد میکند، به خطر افتاده است.
این موضوع توسط گزارشی از گروه تحلیل تهدیدات گوگل در سال گذشته پشتیبانی میشود، که تأیید میکرد وبسایت Trading Technologies در فوریه 2022 به عنوان بخشی از عملیات کره شمالی که دهها کاربر ارزهای دیجیتال و فینتک را هدف قرار داده بود، در معرض خطر قرار گرفت. آژانس امنیت سایبری ایالات متحده CISA می گوید این گروه هکر از بدافزار سفارشی «AppleJeus» خود برای سرقت ارزهای دیجیتال از قربانیان در بیش از 30 کشور استفاده کرده است.
تحقیقات Mandiant نشان داد که یکی از کارمندان 3CX نسخه مخدوش نرم افزار X_Trader را در آوریل 2022 از وب سایت Trading Technologies دانلود کرده است، که هکرها آن را به صورت دیجیتالی با گواهی امضای کد معتبر آن شرکت امضا کرده بودند تا به نظر قانونی برسد.
پس از نصب، نرم افزار یک درب پشتی بر روی دستگاه کارمند کار گذاشته و به مهاجمان دسترسی کامل به سیستم در معرض خطر را می دهد. سپس از این دسترسی برای حرکت جانبی از طریق شبکه 3CX و در نهایت برای به خطر انداختن برنامه تلفن رومیزی پرچمدار 3CX برای نصب بدافزار سرقت اطلاعات در شبکه های شرکتی مشتریانشان استفاده شد.
چارلز کارماکال، مدیر ارشد فناوری Mandiant گفت: «این برای ما قابل توجه است، زیرا این اولین بار است که شواهد ملموسی از حمله به زنجیره تأمین نرمافزاری که منجر به حمله دیگری به زنجیره تأمین میشود، پیدا میکنیم». این سری از حملات زنجیره تامین توأم با افزایش توانایی سایبری تهاجمی سایبری توسط بازیگران تهدید کره شمالی را نشان می دهد.
Mandiant میگوید که در 11 آوریل به Trading Technologies اطلاع داده است، اما میگوید که مشخص نیست چه تعداد از کاربران تحت تأثیر قرار گرفتهاند.
الن رزنیک، سخنگوی Trading Technologies به TechCrunch گفت که این شرکت هنوز یافته های Mandiant را تأیید نکرده است و مجدداً تأکید کرد که پشتیبانی از این نرم افزار را در سال 2020 متوقف کرده است.
Carmakel Mandiant اضافه کرد که احتمالا “قربانیان بسیار بیشتری” مربوط به دو حمله زنجیره تامین در هفته ها و ماه های آینده مشخص خواهد شد.