Los respondedores de incidentes que investigan cómo los piratas informáticos llevaron a cabo un complejo ataque a la cadena de suministro dirigido al proveedor de telefonía empresarial 3CX dicen que la empresa se vio comprometida por otro ataque a la cadena de suministro.
3CX, que desarrolla un sistema telefónico basado en software utilizado por más de 600 000 organizaciones en todo el mundo con más de 12 millones de usuarios activos diarios, trabajó con la empresa de ciberseguridad Mandiant para investigar el incidente. En su informe publicado el jueves, Mandiant dijo que los atacantes comprometieron a 3CX usando una versión del software financiero X_Trader con malware, desarrollado por Trading Technologies.
X_Trader era una plataforma utilizada por los comerciantes para ver mercados históricos y en tiempo real, que Trading Technologies eliminó gradualmente en 2020, pero Mandiant dice que todavía estaba disponible para descargar desde el sitio web de la compañía en 2022.
Mandiant dijo que sospecha que el sitio web de Trading Technologies fue comprometido por un grupo de piratas informáticos respaldados por el estado de Corea del Norte, al que se refiere como UNC4736.
Esto está respaldado por un informe del Grupo de análisis de amenazas de Google del año pasado, que confirmó que el sitio web de Trading Technologies se vio comprometido en febrero de 2022 como parte de una operación de Corea del Norte dirigida a docenas de usuarios de criptomonedas y fintech. La agencia de ciberseguridad de EE. UU. CISA dice que el grupo de piratería ha utilizado su malware personalizado «AppleJeus» para robar criptomonedas de las víctimas en más de 30 países.
La investigación de Mandiant descubrió que un empleado de 3CX descargó una versión contaminada del software X_Trader en abril de 2022 del sitio web de Trading Technologies, que los piratas informáticos habían firmado digitalmente con el certificado de firma de código válido en ese momento de la compañía para que pareciera legítimo.
Una vez instalado, el software plantó una puerta trasera en el dispositivo del empleado, dando a los atacantes acceso completo al sistema comprometido. Este acceso luego se usó para moverse lateralmente a través de la red de 3CX y, eventualmente, para comprometer la aplicación de teléfono de escritorio insignia de 3CX para plantar malware de robo de información dentro de las redes corporativas de sus clientes.
“Esto es notable para nosotros porque es la primera vez que encontramos evidencia concreta de un ataque a la cadena de suministro de software que conduce a otro ataque a la cadena de suministro”, dijo el director de tecnología de Mandiant, Charles Carmakal. “Esta serie de ataques acoplados a la cadena de suministro simplemente ilustra la creciente capacidad cibernética ofensiva de los actores de amenazas de Corea del Norte”.
Mandiant dice que notificó a Trading Technologies sobre el compromiso el 11 de abril, pero dice que no se sabe cuántos usuarios se ven afectados.
La portavoz de Trading Technologies, Ellen Resnick, le dijo a TechCrunch que la compañía aún no ha verificado los hallazgos de Mandiant y reiteró que dejó de admitir el software en 2020.
Carmakel de Mandiant agregó que es probable que se conozcan «muchas más víctimas» relacionadas con los dos ataques a la cadena de suministro en las próximas semanas y meses.