Angriffe auf die Softwarelieferkette, in denen Hacker weit verbreitete Anwendungen korrumpieren, um ihren eigenen Code auf Tausende oder sogar Millionen von Maschinen zu übertragen, sind zu einer Geißel geworden, die sowohl heimtückisch als auch potenziell enorm in der Breite ihrer Auswirkungen ist. Aber der jüngste große Software-Supply-Chain-Angriff, bei dem Hacker, die anscheinend im Auftrag der nordkoreanischen Regierung arbeiten, ihren Code im Installer für eine gängige VoIP-Anwendung namens 3CX versteckten, scheint bisher ein prosaisches Ziel gehabt zu haben: Einbruch in eine Handvoll Kryptowährungsunternehmen.
Forscher des russischen Cybersicherheitsunternehmens Kaspersky gaben heute bekannt, dass sie eine kleine Anzahl von auf Kryptowährung fokussierten Unternehmen als zumindest einige der Opfer des 3CX-Software-Lieferkettenangriffs identifiziert haben, der sich in der vergangenen Woche entfaltet hat. Kaspersky lehnte es ab, eines dieser Opferunternehmen zu nennen, stellt jedoch fest, dass sie in „Westasien“ ansässig sind.
Die Sicherheitsfirmen CrowdStrike und SentinelOne haben die Operation letzte Woche nordkoreanischen Hackern angeheftet, die nach Angaben des Anbieters die 3CX-Installationssoftware kompromittiert haben, die von 600.000 Organisationen weltweit verwendet wird. Trotz der möglicherweise massiven Breite dieses Angriffs, den SentinelOne als „Smooth Operator“ bezeichnete, hat Kaspersky nun herausgefunden, dass die Hacker die mit seiner korrupten Software infizierten Opfer durchkämmten, um letztendlich weniger als 10 Computer anzugreifen – zumindest soweit Kaspersky dies beobachten konnte weit – und dass sie sich anscheinend mit „chirurgischer Präzision“ auf Kryptowährungsfirmen konzentrierten.
„Das war alles nur, um eine kleine Gruppe von Unternehmen zu kompromittieren, vielleicht nicht nur in Bezug auf Kryptowährung, aber was wir sehen, ist, dass eines der Interessen der Angreifer Kryptowährungsunternehmen sind“, sagt Georgy Kucherin, ein Forscher im GReAT-Team von Sicherheitsanalysten von Kaspersky . „Kryptowährungsunternehmen sollten sich über diesen Angriff besonders Sorgen machen, da sie die wahrscheinlichen Ziele sind, und sie sollten ihre Systeme auf weitere Kompromittierungen scannen.“
Kaspersky stützte diese Schlussfolgerung auf die Entdeckung, dass die 3CX-Lieferkettenhacker in einigen Fällen ihren Angriff nutzten, um letztendlich ein vielseitiges Backdoor-Programm namens Gopuram auf den Opfercomputern zu installieren, das die Forscher als „die letzte Nutzlast in der Angriffskette“ beschreiben. ” Kaspersky sagt, dass das Auftreten dieser Malware auch einen nordkoreanischen Fingerabdruck darstellt: Es wurde gesehen, dass Gopuram zuvor im selben Netzwerk wie eine andere Malware namens AppleJeus verwendet wurde, die mit nordkoreanischen Hackern in Verbindung gebracht wurde. Es wurde auch schon früher gesehen, dass Gopuram sich mit derselben Command-and-Control-Infrastruktur wie AppleJeus verbindet, und es wurde gesehen, dass Gopuram zuvor verwendet wurde, um Kryptowährungsfirmen anzugreifen. All dies deutet nicht nur darauf hin, dass der 3CX-Angriff von nordkoreanischen Hackern durchgeführt wurde, sondern dass er möglicherweise beabsichtigt war, Kryptowährungsfirmen zu verletzen, um von diesen Unternehmen zu stehlen, eine gängige Taktik nordkoreanischer Hacker, denen befohlen wurde, Geld für die zu sammeln Regime von Kim Jong-Un.
Es ist zu einem wiederkehrenden Thema für raffinierte staatlich geförderte Hacker geworden, Software-Lieferketten auszunutzen, um auf die Netzwerke von Tausenden von Organisationen zuzugreifen, nur um ihren Fokus auf einige wenige Opfer zu reduzieren. In der berüchtigten Spionagekampagne Solar Winds im Jahr 2020 haben russische Hacker beispielsweise die IT-Überwachungssoftware Orion kompromittiert, um böswillige Updates an etwa 18.000 Opfer zu senden, aber sie scheinen nur Daten von ein paar Dutzend von ihnen gestohlen zu haben. Bei der früheren Kompromittierung der Lieferkette der CCleaner-Software hat die chinesische Hackergruppe Barium oder WickedPanda bis zu 700.000 PCs kompromittiert, sich aber ebenfalls dafür entschieden, eine relativ kurze Liste von Technologieunternehmen ins Visier zu nehmen.