Найти тему
83 подписчика

Помните в начале апреля стало известно об атаке на разработчика софта для аудио- и видеоконференций 3CX? Тогда злоумышленники смогли вредоносный код встроить прямо в дистрибутив его приложений на сайте, в результате чего пострадавших до сих пор неизвестно. Сегодня выяснились интересные детали этой атаки.


Для расследования инцидента 3CX наняла специалистов по киберугрозам из Mandiant. Те выяснили, что взломали 3CX с помощью зараженной версии финансового приложения X_Trader, разработанного компанией Trading Technologies. Изначально оно было предназначено для просмотра трейдерами рынков в реальном времени, однако в 2020 году работы над ним и поддержку прекратили. К сожалению для 3CX, установочный файл X_Trader остался на сайте.

В феврале 2022 года сайт Trading Technologies был взломан в рамках северокорейской операции, направленной на десятки пользователей криптовалют и финтеха. Американское агентство кибербезопасности CISA утверждает, что хакерская группа использовала свою вредоносную программу "AppleJeus" для кражи криптовалюты у жертв в более чем 30 странах.

Расследование Mandiant показало, что в апреле 2022 года сотрудник 3CX загрузил с сайта Trading Technologies скомпроментированную версию дистрибутива X_Trader, которую хакеры для придания видимости легитимности подписали цифровым сертификатом компании.

После установки программа устанавливала бэкдор на устройство сотрудника, предоставляя злоумышленникам полный доступ к взломанной системе. Этот доступ затем использовался для перемещения по сети 3CX и, в конечном итоге, для проникновения на ключевые серверы и репозитории. Отсюда добрались и до исходников приложений 3CX.

"Для нас это примечательно, потому что это первый случай, когда мы нашли конкретные доказательства того, что атака на одну цепочку разработки ПО привела к другой атаке на другую цель", — рассказывает главный технический директор Mandiant Чарльз Кармакал (Charles Carmakal). "Эта серия связанных между собой атак прекрасно иллюстрирует растущий кибернетический наступательный потенциал северокорейских субъектов угроз".

Mandiant утверждает, что уведомила Trading Technologies о компрометации 11 апреля, но сколько пользователей пострадало неизвестно. Представитель Trading Technologies Эллен Резник заявила, что компания еще не проверила выводы Mandiant, и подтвердила, что прекратила поддержку X_Trader в 2020 году.
1 минута