Cadena de suministro de software Los ataques, en los que los piratas informáticos corrompen aplicaciones ampliamente utilizadas para enviar su propio código a miles o incluso millones de máquinas, se han convertido en un flagelo de ciberseguridad, tanto insidiosos como potencialmente enormes en la amplitud de su impacto. Pero el último gran ataque a la cadena de suministro de software, en el que los piratas informáticos que parecen estar trabajando en nombre del gobierno de Corea del Norte ocultaron su código en el instalador de una aplicación común de VoIP conocida como 3CX, hasta ahora parece tener un objetivo prosaico: irrumpir en un puñado de empresas de criptomonedas.
Investigadores de la empresa rusa de ciberseguridad Kaspersky revelaron hoy que identificaron un pequeño número de empresas centradas en criptomonedas como al menos algunas de las víctimas del ataque a la cadena de suministro de software 3CX que se desarrolló durante la última semana. Kaspersky se negó a nombrar a ninguna de esas empresas víctimas, pero señala que tienen su sede en «Asia occidental».
Las firmas de seguridad CrowdStrike y SentinelOne la semana pasada atribuyeron la operación a piratas informáticos de Corea del Norte, quienes comprometieron el software de instalación de 3CX que utilizan 600.000 organizaciones en todo el mundo, según el proveedor. A pesar de la amplitud potencialmente masiva de ese ataque, que SentinelOne denominó «Operador suave», Kaspersky ahora descubrió que los piratas informáticos rastrearon a las víctimas infectadas con su software corrupto para finalmente apuntar a menos de 10 máquinas, al menos hasta donde Kaspersky pudo observar. lejos, y que parecían estar centrándose en las empresas de criptomonedas con «precisión quirúrgica».
«Todo esto fue solo para comprometer a un pequeño grupo de empresas, tal vez no solo en criptomonedas, pero lo que vemos es que uno de los intereses de los atacantes son las empresas de criptomonedas», dice Georgy Kucherin, investigador del equipo de analistas de seguridad GReAT de Kaspersky. . «Las empresas de criptomonedas deberían estar especialmente preocupadas por este ataque porque son los objetivos probables, y deberían escanear sus sistemas en busca de un mayor compromiso».
Kaspersky basó esa conclusión en el descubrimiento de que, en algunos casos, los piratas informáticos de la cadena de suministro de 3CX utilizaron su ataque para instalar un programa de puerta trasera versátil conocido como Gopuram en las máquinas de las víctimas, que los investigadores describen como «la carga útil final en la cadena de ataque». Kaspersky dice que la aparición de ese malware también representa una huella digital de Corea del Norte: se ha visto que Gopuram se usó antes en la misma red que otra pieza de malware, conocida como AppleJeus, vinculada a piratas informáticos de Corea del Norte. También se vio anteriormente a Gopuram conectarse a la misma infraestructura de comando y control que AppleJeus, y se vio que Gopuram se usó anteriormente para apuntar a empresas de criptomonedas. Todo eso sugiere no solo que el ataque 3CX fue realizado por piratas informáticos de Corea del Norte, sino que puede haber tenido la intención de violar las empresas de criptomonedas para robarles, una táctica común de los piratas informáticos de Corea del Norte a los que se les ordena recaudar dinero para el régimen de Kim Jong Un.
Los piratas informáticos que explotan la cadena de suministro de software para acceder a las redes de muchos miles de organizaciones, solo para reducir su objetivo a unas pocas víctimas, se ha convertido en un tema recurrente para los piratas informáticos sofisticados patrocinados por el estado. En la notoria campaña de espionaje Solar Winds de 2020, por ejemplo, los piratas informáticos rusos comprometieron el software de monitoreo de TI Orion para enviar actualizaciones maliciosas a unas 18,000 víctimas, pero se cree que solo atacaron a unas pocas docenas de ellos con el robo de datos reales con fines de espionaje. En el compromiso anterior de la cadena de suministro del software CCleaner, el grupo de piratas informáticos chino conocido como Bario o WickedPanda comprometió hasta 700,000 PC, pero de manera similar eligió apuntar a una lista relativamente corta de empresas de tecnología.