Yazılım tedarik zinciri saldırıları, bilgisayar korsanlarının kendi kodlarını binlerce hatta milyonlarca makineye iletmek için yaygın olarak kullanılan uygulamaları bozduğu, hem sinsi hem de etkilerinin genişliği açısından potansiyel olarak büyük bir bela haline geldi. Ancak, Kuzey Kore hükümeti adına çalışıyor gibi görünen bilgisayar korsanlarının kodlarını 3CX olarak bilinen yaygın bir VoIP uygulaması için yükleyicide sakladıkları en son büyük yazılım tedarik zinciri saldırısının şu ana kadar basit bir amacı varmış gibi görünüyor: bir avuç kripto para birimi şirketine girmek.
Rus siber güvenlik firması Kaspersky’deki araştırmacılar bugün, kripto para birimi odaklı az sayıda firmanın, geçen hafta ortaya çıkan 3CX yazılım tedarik zinciri saldırısının kurbanlarından en azından bazıları olduğunu belirlediklerini açıkladı. Kaspersky, bu kurban şirketlerden herhangi birinin adını vermeyi reddetti, ancak “Batı Asya” merkezli olduklarını belirtiyor.
Güvenlik firmaları CrowdStrike ve SentinelOne, satıcıya göre dünya çapında 600.000 kuruluş tarafından kullanılan 3CX kurulum yazılımını ele geçiren Kuzey Koreli bilgisayar korsanlarının operasyonunu geçen hafta ele geçirdi. SentinelOne’ın “Sorunsuz Operatör” olarak adlandırdığı bu saldırının potansiyel olarak devasa genişliğine rağmen Kaspersky, bilgisayar korsanlarının bozuk yazılımı bulaşmış kurbanları tarayarak en azından Kaspersky’nin gözlemleyebildiği kadarıyla 10’dan az makineyi hedef aldığını keşfetti. uzak – ve “cerrahi hassasiyetle” kripto para birimi şirketlerine odaklanıyor gibi göründüler.
Kaspersky’nin GReAT güvenlik analistleri ekibinde araştırmacı olan Georgy Kucherin, “Bütün bunlar sadece küçük bir şirket grubunu tehlikeye atmak içindi, belki sadece kripto para biriminde değil, ancak saldırganların ilgi alanlarından birinin kripto para şirketleri olduğunu görüyoruz” diyor. . “Kripto para şirketleri, olası hedefler oldukları için bu saldırıdan özellikle endişe duymalı ve daha fazla uzlaşma için sistemlerini taramalılar.”
Kaspersky bu sonucu, bazı durumlarda 3CX tedarik zinciri bilgisayar korsanlarının saldırılarını kurban makinelere Gopuram olarak bilinen çok yönlü bir arka kapı programı yerleştirmek için kullandıkları keşfine dayandırdı. Araştırmacılar bunu “saldırı zincirindeki son yük” olarak tanımlıyor. ” Kaspersky, bu kötü amaçlı yazılımın görünümünün aynı zamanda Kuzey Kore parmak izini temsil ettiğini söylüyor: Gopuram’ın daha önce aynı ağda Kuzey Koreli bilgisayar korsanlarıyla bağlantılı AppleJeus olarak bilinen başka bir kötü amaçlı yazılım parçası olarak kullanıldığını gördü. Ayrıca daha önce Gopuram’ın AppleJeus ile aynı komuta ve kontrol altyapısına bağlandığı görüldü ve Gopuram’ın daha önce kripto para birimi firmalarını hedeflemek için kullanıldığı görüldü. Tüm bunlar, yalnızca 3CX saldırısının Kuzey Koreli bilgisayar korsanları tarafından gerçekleştirildiğini değil, aynı zamanda bu şirketlerden çalmak için kripto para şirketlerini ihlal etmeyi amaçlamış olabileceğini gösteriyor; Kim Jong-Un rejimi.
Devlet destekli sofistike bilgisayar korsanlarının, yalnızca birkaç kurbana odaklanabilmek için binlerce kuruluşun ağlarına erişmek için yazılım tedarik zincirlerinden yararlanmaları tekrar eden bir tema haline geldi. Örneğin, 2020’nin kötü şöhretli Solar Winds casusluk kampanyasında Rus bilgisayar korsanları, yaklaşık 18.000 kurbana kötü amaçlı güncellemeler göndermek için BT izleme yazılımı Orion’u ele geçirdi, ancak görünüşe göre yalnızca birkaç düzine kurbandan veri çalmışlar. CCleaner yazılımının önceki tedarik zinciri uzlaşmasında, Barium veya WickedPanda olarak bilinen Çinli bilgisayar korsanı grubu 700.000 kadar bilgisayarı ele geçirdi, ancak benzer şekilde nispeten kısa bir teknoloji firmaları listesini hedeflemeyi seçti.