O provedor de telefonia empresarial 3CX confirmou que hackers apoiados pela Coreia do Norte estavam por trás do ataque à cadeia de suprimentos do mês passado , que parecia ter como alvo empresas de criptomoedas.

A 3CX, que fornece serviços online de voz, videoconferência e mensagens para empresas, trabalhou com a empresa de segurança cibernética Mandiant para investigar o ataque. Os hackers comprometeram o software de telefone de mesa da empresa usado por centenas de milhares de organizações para plantar malware para roubo de informações dentro das redes corporativas de seus clientes.

Pierre Jourdan, diretor de segurança da informação da 3CX, disse na terça-feira que sua investigação confirma que hackers ligados ao regime norte-coreano estavam por trás do ataque.

“Com base na investigação da Mandiant sobre a intrusão 3CX e o ataque à cadeia de suprimentos até agora, eles atribuem a atividade a um cluster chamado UNC4736”, disse Jourdan. “A Mandiant avalia com alta confiança que o UNC4736 tem um nexo norte-coreano.”

Na semana passada, a gigante da segurança cibernética CrowdStrike vinculou a violação do 3CX a hackers que chama de Labyrinth Chollima, uma subunidade do notório Lazarus Group, conhecido por hacks furtivos direcionados a exchanges de criptomoedas para financiar seu programa de armas nucleares. A Kaspersky Lab, sediada na Rússia, também atribuiu a violação do 3CX à Coreia do Norte.

A Kaspersky disse em sua análise do ataque que os hackers foram vistos implantando um backdoor, que chamou de “Gopuram”, nos sistemas infectados, observando que os invasores têm “um interesse específico em empresas de criptomoeda”. Kaspersky acrescentou que o Gopuram foi implantado em menos de dez máquinas, indicando que os invasores usaram esse backdoor com “precisão cirúrgica”.

Em uma postagem no fórum na semana passada, o CEO da 3CX, Nick Galea, disse que a empresa está ciente de apenas “um punhado de casos” em que o malware foi acionado. No entanto, o impacto do ataque, juntamente com a forma como o 3CX foi comprometido, permanece desconhecido. A empresa afirma ter mais de 600.000 clientes empresariais em todo o mundo e mais de 12 milhões de usuários diários ativos.

Fonte:TechCrunch