Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Mandiant, 3CX Hack’inin Trading Software Maker’daki Önceki Hack’in Sonucu Olduğuna Karar Verdi
David Perera (@daveperera) •
20 Nisan 2023
Kuzey Koreli bilgisayar korsanlarının masaüstü telefon geliştiricisi 3CX’e yönelik yazılım tedarik zinciri saldırısının, bir finansal ticaret yazılımı üreticisine yönelik ayrı ve daha önce açıklanmayan bir tedarik zinciri saldırısının meyvesi olduğu, Mandiant adli tıp ekibinin soruşturma için getirdiği sonuca varıldı.
Ayrıca bakınız: Ateşkes! Çeviklik ve Güvenlik, Bulut Güvenliğinde “Birlikte Daha İyi” Çalışan Ortaklık Buluyor
Müşterileri arasında Toyota, Coca-Cola ve Air France gibi çok uluslu şirketleri sayan 3CX, Mart ayı sonlarında bir olayda bilgisayar korsanlarının Windows ve macOS kaynak koduna sızdığını açıkladı. 3CX Masaüstü İstemcisi Tedarik Zinciri Saldırısı Altında).
3CX tarafından işe alınan mütevazi müfettişler şimdi, enfeksiyonun kaynağının, Chicago merkezli Trading Technologies tarafından yapılan X_Trader adlı, hizmet dışı bırakılmış ancak yine de indirilebilir bir ticaret yazılımı paketi olduğunu söylüyor. Mandiant baş teknoloji sorumlusu Charles Carmakal Çarşamba öğleden sonra düzenlediği basın toplantısında, bir 3CX çalışanının ticaret paketini indirdiğini söyledi.
“Bir yazılım tedarik zinciri saldırısının başka bir yazılım tedarik zinciri saldırısına yol açtığını hiç görmedik” dedi. İki yazılım tedarik zinciri saldırısını zincirleme yapmak, Kuzey Koreli bilgisayar korsanları için yeni bir karmaşıklık düzeyini temsil ediyor.
3CX tedarik zinciri saldırısı büyük olasılıkla fırsatçı olsa da – saldırganların X_Trader’ın onları 3CX’e yönlendireceğine inanmak için hiçbir nedenleri yoktu – saldırı dizisi “Kuzey Koreli tehdit aktörlerinin siber saldırı kapasitesinde bir artış olduğunu gösteriyor” dedi Carmakal.
3CX CEO’su Nick Galea, şirketin olayın tekrarlanmamasını sağlamak için adımlar attığını söyledi. “Bu olay boyunca önceliğimiz, bildiklerimiz ve aldığımız önlemler konusunda şeffaflık oldu” dedi.
Bir Trading Technologies sözcüsü, şirketin Mandiant’ın vardığı sonuçları doğrulamak için zamanı olmadığını söyledi. Sözcü, hazırlanmış bir açıklamada, “Bir 3CX çalışanının neden X_Trader’ı indirmiş olabileceğine dair hiçbir fikrimiz yok” dedi. Ticaret paketi, kurumsal türev ticaretine yönelikti ve Nisan 2020’de kullanımdan kaldırıldı. Mandiant, Kuzey Koreli bilgisayar korsanlarının 2022’de Trading Technologies’e sızdığına inanıyor.
Uygulama artık indirilemez. Sözcü, “Bu olayın mevcut TT platformuyla tamamen ilgisiz olduğunu da vurguluyoruz” dedi.
Carmakal, X_Trader’ın Trading Technologies web sitesinde resmi sona erme tarihinden sonra kullanılabilir olması, “ortalıkta tehlikeye atıldığını henüz bilmeyen büyük olasılıkla başka kurbanlar olduğu anlamına geliyor” dedi.
Mandiant, her iki tedarik zinciri saldırısından sorumlu olan ve UNC4736 olarak izlenen Kuzey Koreli tehdit grubunun, muhtemelen “AppleJeus” olarak tanımlanan mali amaçlı Pyongyang bilgisayar korsanlığı faaliyetiyle ilgili olduğuna inanıyor.
Mandiant siber casusluk analizi direktörü Ben Read, “Bu insanlar yüksek kaynaklara sahipler ve para peşindeler, bu nedenle Kuzey Kore’nin en iyi siber ekiplerini gerçekten finansal olarak motive edilen şeylere koyduğunu gösteriyor” dedi.
Kuzey Kore, devlet destekli bilgisayar korsanlarının ülkelerinin mali kazancı için saldırdığı ender ülkedir. 1948’den beri ülkeyi yöneten kalıtsal totaliter rejim, kitle imha silahlarının geliştirilmesini finanse etmek için kullandığı nakit para arayışında uzun süredir suç faaliyetlerini üstleniyor (bkz:: Kuzey Kore Cryptocurrency Hacking için Afiş Yılı).
3CX çalışanı tarafından indirilen X_Trader sürümü, “VeiledSignal” olarak adlandırılan Google’a ait Mandiant arka kapı kötü amaçlı yazılımıyla birlikte geldi. Dosya ve yükleyicisi, süresi dolmuş bir dijital sertifika ile imzalandığından ticaret yazılımı meşru görünüyordu.
Güvenliği ihlal edilmiş X-Trader ve 3CX masaüstü uygulamaları, arka kapı yüklerini aynı şekilde içeriyordu, çıkardı ve çalıştırdı. Mandiant, VeiledSignal’ın üç bileşen içerdiğini söylüyor: ana arka kapı, bir enjektör modülü ve bir iletişim modeli. Kötü amaçlı yazılım, Trading Technologies web sitesini komuta ve kontrol olarak kullandı.
Mart 2022’de Google’ın Tehdit Analizi Grubu, Trading Technologies web sitesini, Kuzey Koreli bilgisayar korsanları tarafından Chrome tarayıcısında sıfır gün kullanarak güvenliği ihlal edilen web siteleri listesine dahil etti. Google, uzlaşmayı AppleJeus’a bağladı.