El proveedor de telefonía empresarial 3CX ha confirmado que los piratas informáticos respaldados por Corea del Norte estaban detrás del ataque a la cadena de suministro del mes pasado que parecía apuntar a las empresas de criptomonedas.
3CX, que brinda servicios de voz, videoconferencia y mensajería en línea para empresas, trabajó con la empresa de ciberseguridad Mandiant para investigar el ataque. Los piratas informáticos comprometieron el software del teléfono de escritorio de la empresa que utilizan cientos de miles de organizaciones para plantar malware que roba información dentro de las redes corporativas de sus clientes.
Pierre Jourdan, director de seguridad de la información de 3CX, dijo el martes que su investigación confirma que los piratas informáticos vinculados al régimen de Corea del Norte estaban detrás del ataque.
“Según la investigación de Mandiant sobre la intrusión de 3CX y el ataque a la cadena de suministro hasta el momento, atribuyen la actividad a un clúster llamado UNC4736”, dijo Jourdan. “Mandiant evalúa con gran confianza que UNC4736 tiene un nexo con Corea del Norte”.
El gigante de la seguridad cibernética CrowdStrike vinculó la semana pasada la violación de 3CX a los piratas informáticos a los que llama Labyrinth Chollima, una subunidad del notorio Lazarus Group, que es conocido por piratear sigilosamente los intercambios de criptomonedas para financiar su programa de armas nucleares. Kaspersky Lab, con sede en Rusia, también atribuyó la violación de 3CX a Corea del Norte.
Kaspersky dijo en su análisis del ataque que se vio a los piratas informáticos desplegando una puerta trasera, a la que llamó «Gopuram», en los sistemas infectados, y señaló que los atacantes tienen «un interés específico en las empresas de criptomonedas». Kaspersky agregó que Gopuram se implementó en menos de diez máquinas, lo que indica que los atacantes usaron esta puerta trasera con «precisión quirúrgica».
En una publicación del foro la semana pasada, el CEO de 3CX, Nick Galea, dijo que la compañía solo tiene conocimiento de «un puñado de casos» en los que se ha activado el malware. Sin embargo, el impacto del ataque, junto con la forma en que se comprometió 3CX, aún se desconoce. La empresa afirma tener más de 600.000 clientes comerciales en todo el mundo y más de 12 millones de usuarios activos diarios.