Kuzey Koreli bilgisayar korsanlarının birbirine bağlı yazılım tedarik zinciri saldırılarıyla tam olarak neyi başarmaya çalıştıkları hala tam olarak net değil, ancak kısmen basit hırsızlıktan motive olmuş gibi görünüyor. İki hafta önce, siber güvenlik firması Kaspersky, bozuk 3CX uygulamasıyla hedef alınan kurbanların en az bir kısmının “Batı Asya” merkezli kripto para birimi ile ilgili şirketler olduğunu, ancak isimlerini vermeyi reddettiğini açıkladı. Kaspersky, büyük yazılım tedarik zinciri saldırılarında sıklıkla olduğu gibi, bilgisayar korsanlarının potansiyel kurbanlarını elediklerini ve ikinci aşama kötü amaçlı yazılımları güvenliği ihlal edilmiş yüzbinlerce ağın yalnızca küçük bir kısmına teslim ederek onları hedef aldıklarını keşfetti. “cerrahi kesinlik.”
Mandiant, Kuzey Kore bağlantılı bilgisayar korsanlarının en az bir hedefinin şüphesiz kripto para hırsızlığı olduğunu kabul ediyor: Aynı bilgisayar korsanlarına bağlı bir kötü amaçlı yazılım olan AppleJeus’un kripto para birimi hizmetlerini hedeflemek için kullanıldığına dair Google’ın Tehdit Analizi Grubu’nun daha önceki bulgularına işaret ediyor. Google’ın Chrome tarayıcısındaki bir güvenlik açığı. Mandiant ayrıca 3CX’in yazılımındaki aynı arka kapının başka bir kripto para birimi uygulaması olan CoinGoTrade’e eklendiğini ve altyapıyı yine bir başka arka kapı ticaret uygulaması olan JMT Trading ile paylaştığını buldu.
Mandiant’ın siber casusluk tehdit istihbaratı başkanı Ben Read, tüm bunların, grubun Trading Technologies’i hedeflemesiyle birlikte kripto para birimini çalmaya odaklandığını söylüyor. Read, 3CX’in yazılımını kullanan saldırı gibi geniş bir tedarik zinciri saldırısının “sizi insanların parayla uğraştığı yerlere götüreceğini” söylüyor. “Bu, ağırlıklı olarak para kazanmaya odaklanan bir grup.”
Ancak Mandiant’tan Carmakal, bu tedarik zinciri saldırılarının ölçeği göz önüne alındığında, kripto odaklı kurbanların hala buzdağının sadece görünen kısmı olabileceğini belirtiyor. “Zaman içinde bu iki yazılım tedarik zinciri saldırısından biriyle ilgili olduğundan, daha fazla kurban hakkında bilgi edineceğimizi düşünüyorum” diyor.
Mandiant, Ticaret Teknolojileri ve 3CX ihlallerini bir tedarik zinciri saldırısının diğerine yol açtığı bilinen ilk örnek olarak tanımlasa da, araştırmacılar bu tür diğer olayların benzer şekilde birbirine bağlı olup olmadığı konusunda yıllardır spekülasyon yapıyorlar. Örneğin, Winnti veya Brass Typhoon olarak bilinen Çinli grup, 2016’dan 2019’a kadar en az altı yazılım tedarik zinciri saldırısı gerçekleştirdi. Ve bu vakaların bazılarında, bilgisayar korsanlarının ilk ihlal yöntemi hiç keşfedilmedi ve daha önceki bir tedarik zinciri saldırısından olmuş olabilir.
Mandiant’tan Carmakal, kötü şöhretli SolarWinds tedarik zinciri saldırısından sorumlu olan Rus bilgisayar korsanlarının bazı kurbanlarının içindeki yazılım geliştirme sunucularında da keşif yaptıklarına ve belki de bir tedarik zinciri saldırısı planladıklarına dair işaretler olduğunu belirtiyor. bozuldu.
Ne de olsa, bir tedarik zinciri saldırısı gerçekleştirme yeteneğine sahip bir bilgisayar korsanı grubu, genellikle her tür kurbanı çeken geniş bir ağ oluşturmayı başarır; -tedarik zinciri saldırısında, ağı bir kez daha dışarı atmak. Aslında 3CX, bu tür bir tedarik zinciri zinciri reaksiyonuyla karşılaşan ilk şirketse, muhtemelen son şirket olmayacak.