.
Ataques à cadeia de suprimentos de software, em que os hackers corrompem aplicativos amplamente usados para enviar seu próprio código para milhares ou até milhões de máquinas, tornaram-se um flagelo, insidioso e potencialmente enorme na amplitude de seu impacto. Mas o último grande ataque à cadeia de suprimentos de software, no qual hackers que parecem estar trabalhando em nome do governo norte-coreano ocultaram seu código no instalador de um aplicativo VoIP comum conhecido como 3CX, parece até agora ter um objetivo prosaico: invadindo um punhado de empresas de criptomoedas.
Pesquisadores da empresa russa de segurança cibernética Kaspersky revelaram hoje que identificaram um pequeno número de empresas focadas em criptomoedas como pelo menos algumas das vítimas do ataque à cadeia de suprimentos de software 3CX que ocorreu na semana passada. A Kaspersky se recusou a nomear qualquer uma dessas empresas vítimas, mas observa que elas estão sediadas no “oeste da Ásia”.
As empresas de segurança CrowdStrike e SentinelOne na semana passada acusaram hackers norte-coreanos, que comprometeram o software instalador 3CX usado por 600.000 organizações em todo o mundo, de acordo com o fornecedor. Apesar da amplitude potencialmente massiva desse ataque, que o SentinelOne apelidou de “Smooth Operator”, a Kaspersky agora descobriu que os hackers vasculharam as vítimas infectadas com seu software corrompido para atingir menos de 10 máquinas – pelo menos até onde a Kaspersky pôde observar. longe – e que eles pareciam estar se concentrando em empresas de criptomoedas com “precisão cirúrgica”.
“Isso tudo foi apenas para comprometer um pequeno grupo de empresas, talvez não apenas em criptomoedas, mas o que vemos é que um dos interesses dos invasores são as empresas de criptomoedas”, diz Georgy Kucherin, pesquisador da equipe de analistas de segurança GReAT da Kaspersky. . “As empresas de criptomoedas devem estar especialmente preocupadas com esse ataque porque são os alvos prováveis e devem verificar seus sistemas em busca de mais comprometimento.”
A Kaspersky baseou essa conclusão na descoberta de que, em alguns casos, os hackers da cadeia de suprimentos 3CX usaram seu ataque para implantar um programa backdoor versátil conhecido como Gopuram nas máquinas vítimas, que os pesquisadores descrevem como “a carga útil final na cadeia de ataque. ” A Kaspersky diz que a aparência desse malware também representa uma impressão digital norte-coreana: ele já viu o Gopuram ser usado antes na mesma rede que outro malware, conhecido como AppleJeus, vinculado a hackers norte-coreanos. Também já foi visto o Gopuram conectar-se à mesma infraestrutura de comando e controle que o AppleJeus e o Gopuram usado anteriormente para atingir empresas de criptomoedas. Tudo isso sugere não apenas que o ataque 3CX foi realizado por hackers norte-coreanos, mas que pode ter a intenção de violar empresas de criptomoedas para roubá-las, uma tática comum de hackers norte-coreanos ordenados a arrecadar dinheiro para o regime de Kim Jong-Un.
Tornou-se um tema recorrente para hackers sofisticados patrocinados pelo estado explorar cadeias de suprimentos de software para acessar as redes de milhares de organizações, apenas para reduzir seu foco a algumas vítimas. Na notória campanha de espionagem Solar Winds de 2020, por exemplo, hackers russos comprometeram o software de monitoramento de TI Orion para enviar atualizações maliciosas para cerca de 18.000 vítimas, mas parecem ter roubado dados de apenas algumas dezenas delas. No comprometimento anterior da cadeia de suprimentos do software CCleaner, o grupo hacker chinês conhecido como Barium ou WickedPanda comprometeu até 700.000 PCs, mas da mesma forma optou por atingir uma lista relativamente curta de empresas de tecnologia.
.
