北朝鮮のハッカーが相互に関連したソフトウェア サプライ チェーンへの攻撃で何を達成しようとしたかはまだ完全には明らかではありませんが、単純な窃盗が動機の 1 つであるようです。 2 週間前、サイバーセキュリティ企業のカスペルスキーは、破損した 3CX アプリケーションの標的となった被害者の少なくとも一握りが、「西アジア」に拠点を置く仮想通貨関連企業であることを明らかにしましたが、名前は明らかにしませんでした。 Kaspersky は、大規模なソフトウェア サプライ チェーン攻撃でよくあることですが、ハッカーが潜在的な被害者をふるいにかけ、侵害された数十万のネットワークのほんの一部にのみ第 2 段階のマルウェアを配信し、 「外科的精度」。
Mandiant は、北朝鮮に関連するハッカーの少なくとも 1 つの目標は、間違いなく暗号通貨の盗難であることに同意します。 Google の脅威分析グループによる以前の調査結果 同じハッカーに結び付けられたマルウェアの一部である AppleJeus が、Google の Chrome ブラウザの脆弱性を介して暗号通貨サービスを標的にするために使用された. Mandiant はまた、3CX のソフトウェアの同じバックドアが別の仮想通貨アプリケーション CoinGoTrade に挿入され、さらに別のバックドア取引アプリ JMT Trading とインフラストラクチャを共有していることも発見しました。
Mandiant のサイバースパイ脅威インテリジェンス部門の責任者である Ben Read 氏は、これらすべてが、このグループが Trading Technologies を標的にしていることと相まって、仮想通貨の窃盗に重点が置かれていることを示していると述べています。 3CX のソフトウェアを悪用したような広範なサプライ チェーン攻撃は、「人々がお金を扱っている場所にあなたを連れて行きます」と Read は言います。 「これは収益化に重点を置いたグループです。」
しかし、Mandiant の Carmakal 氏は、これらのサプライ チェーン攻撃の規模を考えると、仮想通貨に焦点を当てた被害者はまだ氷山の一角に過ぎない可能性があると指摘しています。 「この 2 つのソフトウェア サプライ チェーン攻撃のいずれかに関連しているため、今後さらに多くの被害者について知ることになると思います」と彼は言います。
Mandiant は、Trading Technologies と 3CX の侵害を、あるサプライ チェーン攻撃が別の攻撃につながる最初の既知の事例であると説明していますが、研究者は、他のそのような事件が同様に関連していたかどうかについて何年も推測してきました。 たとえば、Winnti または Brass Typhoon として知られる中国のグループは、2016 年から 2019 年にかけて 6 回以上のソフトウェア サプライ チェーン攻撃を実行しました。以前のサプライ チェーン攻撃によるものである可能性があります。
Mandiant の Carmakal は、悪名高い SolarWinds サプライ チェーン攻撃の責任者であるロシアのハッカーも、被害者の一部のソフトウェア開発サーバーで偵察を行っており、おそらくその後のサプライ チェーン攻撃を計画していた兆候があったことを指摘しています。中断した。
結局のところ、サプライ チェーン攻撃を実行できるハッカー グループは、通常、あらゆる種類の犠牲者を引き込む広大な網を張ることに成功しています。 -サプライチェーン攻撃で、ネットを再びキャストアウト. 実際、3CX がこの種のサプライ チェーン連鎖反応に見舞われた最初の企業であるとすれば、3CX が最後になる可能性は低いでしょう。