Los investigadores de seguridad dicen que tienen mucha confianza en que los piratas informáticos de Corea del Norte estuvieron detrás de una intrusión reciente en la empresa de software empresarial JumpCloud debido a un error que cometieron los piratas informáticos.

Mandiant, que está ayudando a uno de los clientes afectados de JumpCloud, atribuyó la violación a piratas informáticos que trabajan para la Oficina General de Reconocimiento de Corea del Norte, o RGB, una unidad de piratería que apunta a empresas de criptomonedas y roba contraseñas de ejecutivos y equipos de seguridad. Corea del Norte ha utilizado durante mucho tiempo los robos de criptomonedas para financiar su programa de armas nucleares sancionado.

En una publicación de blog, Mandiant dijo que la unidad de piratería, a la que llama UNC4899 (ya que es un nuevo grupo de amenazas no clasificado), expuso por error sus direcciones IP del mundo real. Los piratas informáticos de Corea del Norte a menudo usaban servicios VPN comerciales para enmascarar sus direcciones IP, pero en «muchas ocasiones» las VPN no funcionaban o los piratas informáticos no las usaban al acceder a la red de la víctima, exponiendo su acceso desde Pyongyang.

Mandiant dijo que su evidencia respalda que esto fue «un desliz de OPSEC», refiriéndose a la seguridad operativa, la forma en que los piratas informáticos intentan evitar que se filtre información sobre su actividad como parte de sus campañas de piratería. Los investigadores dijeron que también descubrieron infraestructura adicional utilizada en esta intrusión que anteriormente fue utilizada por piratas informáticos atribuidos a Corea del Norte.

“Los actores de amenazas del nexo entre Corea del Norte continúan mejorando sus capacidades ofensivas cibernéticas para robar criptomonedas. Durante el último año, los hemos visto realizar múltiples ataques a la cadena de suministro, envenenar software legítimo y desarrollar e implementar malware personalizado en los sistemas MacOS”, dijo el CTO de Mandiant, Charles Carmakal. “En última instancia, quieren comprometer a las empresas con criptomonedas y han encontrado caminos creativos para llegar allí. Pero también cometen errores que nos han ayudado a atribuirles varias intrusiones”.

SentinelOne y CrowdStrike también confirmaron que Corea del Norte estaba detrás de la intrusión de JumpCloud.

JumpCloud dijo en una breve publicación la semana pasada que menos de cinco de sus clientes corporativos y menos de 10 dispositivos fueron objeto de la campaña de piratería de Corea del Norte. JumpCloud restableció las claves API de sus clientes después de informar una intrusión en junio. JumpCloud tiene más de 200 000 clientes empresariales, incluidos GoFundMe, ClassPass y Foursquare.

JumpCloud, un servicio de administración de TI basado en la nube que incluye a Cars.com, GoFundMe y Foursquare entre sus 5000 clientes que pagan, experimentó una brecha de seguridad llevada a cabo por piratas informáticos que trabajaban para un estado-nación, dijo la compañía la semana pasada.

El ataque comenzó el 22 de junio como una campaña de spear-phishing, reveló la compañía el miércoles pasado. Como parte de ese incidente, dijo JumpCloud, el «sofisticado actor de amenazas patrocinado por el estado nacional» obtuvo acceso a una parte no especificada de la red interna de JumpCloud. Aunque los investigadores en ese momento no encontraron evidencia de que ningún cliente se viera afectado, la compañía dijo que rotó las credenciales de la cuenta, reconstruyó sus sistemas y tomó otras medidas defensivas.

El 5 de julio, los investigadores descubrieron que la infracción involucró «actividad inusual en el marco de comandos para un pequeño grupo de clientes». En respuesta, el equipo de seguridad de la empresa realizó una rotación forzada de todas las claves API de administración y notificó a los clientes afectados.

A medida que los investigadores continuaron con su análisis, descubrieron que la violación también involucró una «inyección de datos en el marco de comandos», que la divulgación describió como el «vector de ataque». La divulgación no explicó la conexión entre la inyección de datos y el acceso obtenido por el ataque de phishing selectivo el 22 de junio. Ars le pidió detalles a JumpCloud PR y los empleados respondieron enviando la misma publicación de divulgación que omite dichos detalles.

Los investigadores también descubrieron que el ataque estaba extremadamente dirigido y limitado a clientes específicos, que la empresa no nombró.

JumpCloud dice en su sitio web que tiene una base de usuarios global de más de 200.000 organizaciones, con más de 5.000 clientes de pago. Incluyen Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance y Foursquare. JumpCloud ha recaudado más de 400 millones de dólares de inversores, incluidos Sapphire Ventures, General Atlantic, Sands Capital, Atlassian y CrowdStrike.

En la divulgación de la semana pasada, el director de seguridad de la información de JumpCloud, Bob Phan, escribió:

El 27 de junio a las 15:13 UTC, descubrimos una actividad anómala en un sistema de orquestación interno que rastreamos hasta una sofisticada campaña de spear-phishing perpetrada por el actor de amenazas el 22 de junio. Esa actividad incluía el acceso no autorizado a un área específica de nuestra infraestructura. No vimos evidencia de impacto en el cliente en ese momento. Por precaución, rotamos las credenciales, reconstruimos la infraestructura y tomamos una serie de otras acciones para proteger aún más nuestra red y nuestro perímetro. Además, activamos nuestro plan de respuesta a incidentes preparado y trabajamos con nuestro socio de Respuesta a incidentes (IR) para analizar todos los sistemas y registros en busca de actividad potencial. También fue en ese momento, como parte de nuestro plan IR, que contactamos e involucramos a la policía en nuestra investigación.

JumpCloud Security Operations, en colaboración con nuestros socios de IR y las fuerzas del orden, continuaron con la investigación forense. El 5 de julio a las 03:35 UTC, descubrimos actividad inusual en el marco de comandos para un pequeño grupo de clientes. En este momento, teníamos evidencia del impacto en el cliente y comenzamos a trabajar en estrecha colaboración con los clientes afectados para ayudarlos con medidas de seguridad adicionales. También decidimos realizar una rotación forzada de todas las claves API de administración a partir del 5 de julio a las 23:11 UTC. Inmediatamente notificamos a los clientes de esta acción.

El análisis continuo descubrió el vector de ataque: la inyección de datos en nuestro marco de comandos. El análisis también confirmó las sospechas de que el ataque fue extremadamente dirigido y limitado a clientes específicos. Lo que aprendimos nos permitió crear y ahora compartir una lista de IOC (Indicadores de Compromiso) que hemos observado para esta campaña.

Estos son adversarios sofisticados y persistentes con capacidades avanzadas. Nuestra línea de defensa más fuerte es a través del intercambio de información y la colaboración. Por eso era importante para nosotros compartir los detalles de este incidente y ayudar a nuestros socios a proteger sus propios entornos contra esta amenaza. Continuaremos mejorando nuestras propias medidas de seguridad para proteger a nuestros clientes de amenazas futuras y trabajaremos de cerca con nuestros socios gubernamentales y de la industria para compartir información relacionada con esta amenaza.

La compañía también ha publicado una lista de direcciones IP, nombres de dominio y hashes criptográficos utilizados por el atacante que otras organizaciones pueden usar para indicar si fueron atacados por los mismos atacantes. JumpCloud aún tiene que nombrar el país de origen u otros detalles sobre el grupo de amenazas responsable.

JumpCloud les ha dicho a los clientes que restableció sus claves API para proteger a sus organizaciones de un aparente incidente de seguridad.

El gigante de administración de directorios, identidades y accesos dijo en un correo electrónico a los clientes que estaba experimentando un «incidente en curso», pero no proporcionó detalles. En una publicación de soporte en su sitio, la compañía dijo que los reinicios fueron «por precaución».

La empresa de tecnología con sede en Louisville, Colorado, proporciona directorio de archivos en la nube y seguridad de dispositivos, como inicio de sesión único y autenticación multifactor, para corporaciones y organizaciones. JumpCloud dice que proporciona su tecnología a más de 180 000 organizaciones, con más de 5000 clientes que pagan.

No es raro que las empresas ofrezcan claves API que permitan a los clientes integrar esa tecnología en su propia pila tecnológica y diferentes sistemas para comunicarse entre sí. Dado que las claves API se tratan como contraseñas u otros secretos, es probable que la rotación o la invalidación de las claves API del cliente no se tome a la ligera, dado el impacto posterior en los clientes cuyas integraciones con otros servicios se romperían y causarían interrupciones.

No está claro a qué incidente en curso está respondiendo JumpCloud, y un portavoz de JumpCloud no respondió a una solicitud de comentarios.

JumpCloud recaudó por última vez $ 159 millones en la Serie F en 2021, valorando a la compañía en más de $ 2.5 mil millones.

---

Si sabe más sobre el incidente de JumpCloud o trabaja en la empresa, comuníquese con el departamento de seguridad de Signal y WhatsApp al +1 646-755-8849 o [email protected] por correo electrónico.