CNN
–
بازرسان خصوصی روز پنجشنبه گفتند که هکرهای مظنون کره شمالی در یک حمله سایبری به یک شرکت نرم افزاری که مدعی صدها هزار مشتری در سراسر جهان است نفوذ کردند که نشان دهنده قابلیت های هک پیشرفته پیونگ یانگ است.
نقض شرکت نرمافزاری 3CX، که ماه گذشته کشف شد، جای پای بالقوهای را برای کرهشمالیها به سمت طیف عظیمی از شرکتهای چندملیتی – از هتلهای زنجیرهای گرفته تا ارائهدهندگان مراقبتهای بهداشتی – که از نرمافزار این شرکت برای تماسهای صوتی و تصویری استفاده میکنند، فراهم کرد.
تعداد شرکتهایی که تحت تأثیر این هک قرار گرفتند و اینکه هکرها در نهایت با دسترسی به شبکههای قربانی چه کردند هنوز مشخص نیست. اما این آخرین شواهدی است که نشان میدهد هکرهای کره شمالی تمام راهها را برای نفوذ به سازمانها برای دزدی یا جاسوسی در حمایت از منافع استراتژیک کیم جونگ اون دیکتاتور انجام میدهند.
چارلز کارماکال، افسر ارشد فناوری در Mandiant Consulting، که 3CX برای تحقیق در مورد هک استخدام کرده است، گفت: این هک “سطح افزایش توانایی تهاجمی سایبری توسط عوامل کره شمالی” را نشان می دهد.
تحقیقات اخیر سیانان نشان داد که هکرهای کره شمالی تلاش گستردهای برای سرقت ارزهای دیجیتال و پولشویی آنها به پول نقد دارند که ممکن است به بودجه برنامههای تسلیحاتی رژیم کمک کند. یک مقام ارشد آمریکایی که قبلاً به سیانان گفته بود، چنین فعالیتهای سایبری کره شمالی بخشی از محصولات اطلاعاتی منظم است که به مقامات ارشد ایالات متحده، گاهی از جمله جو بایدن، رئیسجمهور ارائه میشود.
در مورد 3CX، Mandiant گفت که هکرها ابتدا با به خطر انداختن نرم افزار ساخته شده توسط یک شرکت دیگر، پلتفرم تجارت مشتقات، Trading Technologies راه خود را به محیط تولید نرم افزار شرکت وارد کردند. به گزارش Mandiant، یکی از کارمندان 3CX نرم افزار Trading Technologies را که اکنون از بین رفته بود، دانلود کرد که هکرها آن را دستکاری کرده بودند.
کارماکال روز چهارشنبه به خبرنگاران گفت: «این اولین باری است که ما شواهد ملموسی از حمله زنجیره تامین که منجر به حمله دیگری به زنجیره تامین می شود، پیدا می کنیم.
با این حال تأثیر هک نامشخص است. هر یک از مشتریان 3CX که نرمافزار اشکالدار را دانلود میکردند، در معرض خطر قرار میگرفتند. اما به گفته شرکت امنیت سایبری آمریکایی CrowdStrike، کره شمالی احتمالا تعداد بسیار کمتری از قربانیان را برای فعالیت های بعدی در شبکه خود انتخاب کرده اند.
گئورگی کوچرین، محقق شرکت امنیت سایبری روسیه کسپرسکی به سی ان ان گفت هکرهای مظنون کره شمالی در اواخر ماه گذشته از دسترسی 3CX برای هدف قرار دادن شرکت های ارزهای دیجیتال استفاده کردند.
کوچرین گفت که شرکت او شاهد تلاش هکرها برای استقرار کدهای مخرب بر روی «کمتر از 10 رایانه» بود، اما تلاشهای آنها را مسدود کرد، «بنابراین هیچ چیز به سرقت نرفت.»
نیک گالیا، مدیر عامل 3CX، در 30 مارس دامنه این حادثه را کم اهمیت جلوه داد و به CNN گفت که به نظر می رسد تعداد بسیار کمی از مشتریان او در واقع توسط هکرها به خطر افتاده اند. اما گالیا در ایمیلی در روز پنجشنبه گفت که نمیداند در نهایت چند مشتری نرمافزار دستکاری شده 3CX را دانلود کردهاند، یا چند مشتری شاهد فعالیتهای هک بعدی بودهاند.
3CX به مشتریان دستور داده است که چگونه نرم افزار خود را به روز کنند و از نظر مصالحه بررسی کنند.
سخنگوی Trading Technologies روز پنجشنبه به سیانان گفت که Trading Technologies هنوز نتوانسته یافتههای Mandiant را تأیید کند زیرا این شرکت هفته گذشته از این موضوع مطلع شد.
سخنگوی Trading Technologies گفت: “آنچه ما با اطمینان می دانیم این است که 3CX فروشنده یا مشتری Trading Technologies نیست.” ما همچنین تاکید می کنیم که این حادثه کاملاً به پلت فرم فعلی TT بی ارتباط است.
این هک مقامات آمریکایی و مدیران خصوصی را به تکاپو انداخت تا تعیین کنند چه تعداد از سازمان های آمریکایی ممکن است تحت تأثیر قرار گیرند.
یک سخنگوی آژانس روز پنجشنبه به CNN گفت: آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده “به همکاری با دولت و شرکای بخش خصوصی برای درک تأثیرات این کمپین نفوذ ادامه می دهد.” “در بسیاری از موارد، کار برجسته جامعه امنیت سایبری از آسیب قابل توجهی برای بسیاری از قربانیان احتمالی جلوگیری کرد.”
آدام میرز، معاون اطلاعات در CrowdStrike گفت: هک های زنجیره تامین گسترده معمولاً با هکرهای مرتبط با دولت از چین یا روسیه مرتبط هستند.
مایرز به سیانان گفت: «این واقعیت که کره شمالی است… نشان میدهد که این بازیگری است که تواناییها و آرزوهای زنجیره تأمین را دارد و میتواند تأثیراتی از آنها داشته باشد».