Posté le avril 21, 2023 à 7:14
DES HACKERS NORD-CORÉENS PRENNENT POUR CIBLE UNE SOCIÉTÉ DE LOGICIELS 3CX, METTANT EN ÉVIDENCE DES CAPACITÉS DE HACKER SOPHISTIQUÉES
Des hackers Nord-Coréens ont obtenu un accès non autorisé à une société de logiciels comptant des centaines de milliers de clients dans le monde entier. L’attaque contre l’entreprise de logiciels 3CX a mis en évidence les capacités de piratage avancées de la Corée du Nord.
Des hackers Nord-Coréens attaquent l’entreprise de logiciels 3CX
La violation dont a été victime 3CX a été signalée le mois dernier, et elle a montré à quel point les hackers de Corée du Nord s’en prennent aux multinationales. Cette attaque représente un risque considérable, car un grand nombre d’organisations, notamment des chaînes hôtelières et des prestataires de soins de santé, utilisent le logiciel soutenu par l’entreprise pour passer des appels vocaux et vidéo.
Le nombre d’entreprises compromises par ce piratage reste incertain. En outre, aucun détail n’explique ce que les attaquants ont réalisé une fois qu’ils ont infiltré les réseaux des victimes. Cependant, cette violation est la dernière preuve en date montrant que des hackers Nord-Coréens se sont introduits dans une organisation pour la voler ou l’espionner afin de répondre aux intérêts stratégiques de Pyongyang.
3CX a engagé la société Mandiant Consulting pour enquêter sur ce piratage. L’un des responsables de Mandiant a déclaré que ce piratage illustrait un haut niveau de capacité cyber offensive de la part des hackers Nord-Coréens.
Selon des enquêtes, les hackers Nord-Coréens ont redoublé d’efforts pour cibler le secteur des cryptomonnaies. Ces hackers ont volé des cryptomonnaies et les ont blanchies grâce à des outils de mixage de pièces. Les cryptomonnaies volées sont utilisées pour financer le programme d’armement du pays.
Les cyberactivités menées en Corée du Nord font partie des rapports de renseignement régulièrement soumis aux hauts responsables du gouvernement Américain. Un rapport de l’ONU publié l’année dernière a également reconnu que des hackers Nord-Coréens ont volé des cryptomonnaies pour financer le programme de missiles du pays.
Dans la récente attaque contre 3CX, la société de cybersécurité Mandiant a déclaré que les hackers s’étaient frayé un chemin dans l’environnement de production de logiciels de l’entreprise. L’exploit mené par les hackers a commencé par la compromission du logiciel créé par une autre entreprise connue sous le nom de Trading Technologies.
Un employé de 3CX a téléchargé le logiciel, désormais révolu, créé par la plateforme de négociation de produits dérivés. Les hackers avaient déjà modifié le logiciel, selon Mandiant. Les chercheurs ont noté que cela a créé le point de compromission initial qui a permis aux hackers Nord-Coréens d’infiltrer les systèmes de 3CX.
Les chercheurs en sécurité de Mandiant ont déclaré que c’était la première fois que la société avait détecté des preuves solides montrant « une attaque de la chaîne d’approvisionnement conduisant à une autre attaque de la chaîne d’approvisionnement ».
Cependant, l’effet de cette violation sur 3CX n’est pas encore clair. Tous les clients de la société de logiciels qui ont téléchargé le logiciel affecté sont susceptibles d’être compromis. Il est également probable que les hackers Nord-Coréens aient ciblé une petite partie des victimes pour suivre l’activité sur le réseau.
Les hackers Nord-Coréens ont par ailleurs utilisé l’accès 3CX pour cibler des entreprises opérant dans le secteur des cryptomonnaies vers la fin du mois dernier. Un chercheur de la société de cybersécurité Kaspersky a déclaré que son entreprise avait vu des hackers déployer un code malveillant sur moins de dix ordinateurs. Kaspersky a toutefois déjoué l’attaque et aucune donnée n’a été volée.
Le PDG de 3CX, Nick Galea, a indiqué que seuls quelques clients avaient été compromis à cause de la brèche dans l’entreprise. Il a toutefois précisé qu’il ne connaissait pas le nombre de clients qui avaient téléchargé le logiciel compromis ou détecté la violation subséquente.
L’éditeur de logiciels a indiqué à ses clients comment mettre à jour leurs logiciels et vérifier s’ils ont été compromis. Trading Technologies n’a pas validé les découvertes faites par Mandiant, affirmant que l’entreprise n’a eu connaissance de l’affaire que la semaine dernière.
Un porte-parole de Trading Technologies a déclaré : « Ce que nous savons avec certitude, c’est que 3CX n’est ni un fournisseur ni un client de Trading Technologies. Nous tenons également à souligner que cet incident n’a aucun rapport avec la plateforme TT actuelle. »
Des fonctionnaires Américains préoccupés par ces activités de piratage
Les responsables Américains et les dirigeants du secteur privé ont cherché à déterminer le nombre d’organisations Américaines susceptibles d’avoir été touchées par ce piratage. La CISA (Cybersecurity and Infrastructure Security Agency) a déclaré qu’elle travaillait avec le gouvernement et le secteur privé pour comprendre les effets de cette campagne.
Le porte-parole de l’agence a déclaré que dans la plupart des cas, le travail effectué par la communauté de la cybersécurité a permis de s’assurer que la plupart des victimes n’ont pas subi de dommages significatifs. Ces piratages de la chaîne d’approvisionnement sont généralement liés à des hackers parrainés par l’État en Chine et en Russie.
