« Il n'est pas exclu que des entreprises d'importance stratégique soient ciblées en vue d'une exploitation ultérieure », a prévenu Symantec suite au piratage de 3CX. (crédit : Sora Shimazaki / Pexels)
Le cybergang nord-coréen Lazarus, spécialisé dans la VoIP, est soupçonné d'être à l'origine du piratage de l'éditeur 3CX. Il apparaît aussi impliqué dans d'autres activités d'espionnage et des cyberattaques. Motivé par l'appât du gain, il axe ses opérations sur des cibles stratégiques aussi bien aux Etats-Unis qu'en Europe.
Selon un rapport de Symantec, le groupe de pirates informatiques responsable d'une redoutable attaque supply chain visant la société de VoIP 3CX a encore frappé. Ce cybergang aurait également pénétré dans deux entreprises d'infrastructures critiques du secteur de l'énergie et deux autres spécialisées dans le trading financier en utilisant l'application X_TRADER comme trojan. Parmi les deux cibles d'importance vitale touchées, l'une est située aux États-Unis et l'autre en Europe, a indiqué l'éditeur de sécurité.
L'annonce de la violation d'autres entreprises intervient un jour après que Mandiant ait révélé que l'application trojanisée X_TRADER était à l'origine de la violation de 3CX. « Les attaquants à l'origine de ces brèches disposent manifestement d'un modèle réplicable d'attaques supply chain, d'autres similaires ne pouvant pas être exclues », explique Symantec dans son rapport. Le mois dernier, plusieurs chercheurs en sécurité ont signalé que l'application 3CX Desktop App contenait des logiciels malveillants. L'entreprise l'a confirmé et a publié une mise à jour pour l'application Desktop.
Des bombes à retardement à prévoir
Sur la base de cette méthodologie, Mandiant a attribué les attaques au groupe de pirates informatiques nord-coréens Lazarus. Symantec reconnaît également que les attaquants semblent être liés à la Corée du Nord. « Il semble probable que l'attaque supply chain de X_Trader soit motivée par des raisons financières, puisque Trading Technologies, le développeur de X_Trader, facilite la vente de contrats à terme, y compris dans l'énergie », a déclaré Symantec. La firme ajoute que les acteurs malveillants apparentés à la Corée du Nord sont connus pour s'engager à la fois dans l'espionnage et dans des attaques motivées par des raisons financières. « Il n'est pas exclu que des entreprises d'importance stratégique ayant fait l'objet d'une violation au cours d'une campagne financière soient ciblées en vue d'une exploitation ultérieure », a-t-elle prévenu.
Selon Mandiant, l'attaque de compromission de la chaîne d'approvisionnement de 3CX a été menée lorsque les pirates ont accédé au réseau et aux systèmes de l'entreprise à la suite d'une autre attaque impliquant une application tierce dans le trading de contrats à terme. Les pirates ont accédé au réseau de 3CX après que l'un des employés de l'entreprise a installé sur son ordinateur personnel, en 2022, une plateforme de négociation de contrats à terme appelée X_TRADER de Trading Technologies. Ce logiciel avait été doté d'une porte dérobée dans le cadre d'une attaque supply chain. Le logiciel X_TRADER a été abandonné en 2020, mais il était toujours possible de le télécharger à partir du site web de la société en 2022. Il s'agit de la première attaque de compromission de la chaîne d'approvisionnement qui a conduit à une compromission en cascade, a déclaré Mandiant. Les attaquants ont réussi à effectuer du déplacement latéral dans le réseau de 3CX et à injecter des bibliothèques malveillantes dans les versions Windows et MacOS de sa solution Electron.
Un voleur de données en action
La version trojanisée de 3CX Desktop App a d'abord déployé un téléchargeur intermédiaire de logiciels malveillants qui s'est connecté à un dépôt GitHub pour obtenir des adresses de commande et de contrôle cachées dans des fichiers d'icônes, a précisé Mandiant, engagé par 3CX pour enquêter sur l'incident. La suite ? Ce downloader a contacté un serveur de commande et de contrôle puis a déployé un stealer pour collecter des données de configuration de l'application ainsi que l'historique du navigateur. Très classique mais très efficace en somme.
Suivez-nous