Exactamente lo que los piratas informáticos de Corea del Norte buscaban lograr con sus ataques interconectados de la cadena de suministro de software aún no está del todo claro, pero parece haber sido motivado en parte por un simple robo. Hace dos semanas, la firma de seguridad cibernética Kaspersky reveló que al menos un puñado de las víctimas atacadas con la aplicación 3CX corrupta eran empresas relacionadas con criptomonedas con sede en «Asia occidental», aunque se negó a nombrarlas. Kaspersky descubrió que, como suele ser el caso con los ataques masivos a la cadena de suministro de software, los piratas informáticos habían filtrado a sus víctimas potenciales y entregado una pieza de malware de segunda etapa a solo una pequeña fracción de esos cientos de miles de redes comprometidas, apuntándolas con “precisión quirúrgica”.
Mandiant está de acuerdo en que al menos uno de los objetivos de los piratas informáticos vinculados a Corea del Norte es, sin duda, el robo de criptomonedas: señala hallazgos anteriores del Grupo de análisis de amenazas de Google de que AppleJeus, una pieza de malware vinculada a los mismos piratas informáticos, se utilizó para apuntar a los servicios de criptomonedas a través de una vulnerabilidad en el navegador Chrome de Google. Mandiant también descubrió que la misma puerta trasera en el software de 3CX se insertó en otra aplicación de criptomonedas, CoinGoTrade, y que compartía la infraestructura con otra aplicación comercial con puerta trasera, JMT Trading.
Todo eso, en combinación con el objetivo del grupo de Trading Technologies, apunta a un enfoque en el robo de criptomonedas, dice Ben Read, jefe de inteligencia de amenazas de ciberespionaje de Mandiant. Un ataque amplio a la cadena de suministro como el que explotó el software de 3CX “lo llevaría a lugares donde la gente maneja dinero”, dice Read. “Este es un grupo muy centrado en la monetización”.
Pero Carmakal de Mandiant señala que, dada la escala de estos ataques a la cadena de suministro, las víctimas centradas en las criptomonedas aún pueden ser solo la punta del iceberg. “Creo que aprenderemos sobre muchas más víctimas con el tiempo en relación con uno de estos dos ataques a la cadena de suministro de software”, dice.
Si bien Mandiant describe los compromisos de Trading Technologies y 3CX como la primera instancia conocida de un ataque a la cadena de suministro que conduce a otro, los investigadores han especulado durante años sobre si otros incidentes similares estaban interrelacionados de manera similar. El grupo chino conocido como Winnti o Brass Typhoon, por ejemplo, llevó a cabo no menos de seis ataques a la cadena de suministro de software entre 2016 y 2019. Y en algunos de esos casos, el método de la violación inicial de los piratas informáticos nunca se descubrió, y bien puede haber sido de un ataque anterior a la cadena de suministro.
Carmakal, de Mandiant, señala que también había indicios de que los piratas informáticos rusos responsables del notorio ataque a la cadena de suministro de SolarWinds también estaban realizando un reconocimiento en los servidores de desarrollo de software dentro de algunas de sus víctimas, y tal vez estaban planeando un ataque posterior a la cadena de suministro cuando estaban interrumpido.
Después de todo, un grupo de piratas informáticos capaz de llevar a cabo un ataque a la cadena de suministro generalmente logra lanzar una amplia red que atrae a todo tipo de víctimas, algunas de las cuales suelen ser desarrolladores de software que ofrecen un punto de vista poderoso desde el cual llevar a cabo un seguimiento. -En el ataque a la cadena de suministro, lanzando la red una vez más. Si 3CX es, de hecho, la primera empresa afectada por este tipo de reacción en cadena de la cadena de suministro, es poco probable que sea la última.