3CX کره شمالی را به هک دسته جمعی زنجیره تامین متهم می کند

ارائه‌دهنده تلفن سازمانی 3CX تأیید کرده است که هکرهای مورد حمایت کره شمالی در پشت حمله زنجیره تامین ماه گذشته که به نظر می‌رسد شرکت‌های ارزهای دیجیتال را هدف قرار می‌دهد، بوده‌اند.

3CX که خدمات آنلاین صوتی، ویدئو کنفرانس و پیام رسانی را برای مشاغل ارائه می دهد، با شرکت امنیت سایبری Mandiant برای بررسی این حمله همکاری کرد. هکرها نرم افزار تلفن رومیزی این شرکت را که توسط صدها هزار سازمان برای نصب بدافزار سرقت اطلاعات در شبکه های شرکتی مشتریانشان استفاده می شد، به خطر انداختند.

پیر جوردان، افسر ارشد امنیت اطلاعات 3CX روز سه شنبه گفت که تحقیقات آنها تأیید می کند که هکرهای مرتبط با رژیم کره شمالی در پشت این حمله بوده اند.

جوردان گفت: “بر اساس تحقیقات Mandiant در مورد حمله 3CX و حمله زنجیره تامین تا کنون، آنها این فعالیت را به خوشه ای به نام UNC4736 نسبت می دهند.” Mandiant با اطمینان بالا ارزیابی می کند که UNC4736 یک پیوند کره شمالی دارد.

غول امنیت سایبری CrowdStrike هفته گذشته نفوذ 3CX را به هکرهایی که Labyrinth Chollima نامیده می‌شود، مرتبط کرد، یکی از زیرواحدهای گروه بدنام Lazarus، که به‌خاطر هک‌های پنهانی که صرافی‌های ارزهای دیجیتال را برای تامین مالی برنامه سلاح‌های هسته‌ای خود هدف قرار می‌دهند، شناخته شده است. آزمایشگاه کسپرسکی مستقر در روسیه نیز نقض 3CX را به کره شمالی نسبت داد.

کسپرسکی در تحلیل خود از این حمله گفت که هکرها در حال استقرار یک درب پشتی، که آن را Gopuram نامیده است، بر روی سیستم‌های آلوده به کار می‌گیرند و خاطرنشان کرد که مهاجمان «علاقه خاصی به شرکت‌های ارزهای دیجیتال دارند». کسپرسکی اضافه کرد که Gopuram بر روی کمتر از ده دستگاه مستقر شده است. نشان می دهد که مهاجمان از این درب پشتی با “دقت جراحی” استفاده کردند.

نیک گالیا، مدیرعامل 3CX هفته گذشته در یک پست فروم گفت که این شرکت تنها از «مواردی انگشت شمار» که بدافزار راه اندازی شده است آگاه است. با این حال، تأثیر این حمله، همراه با چگونگی به خطر افتادن 3CX، ناشناخته باقی مانده است. 3CX ادعا می کند که بیش از 600000 مشتری تجاری در سراسر جهان و بیش از 12 میلیون کاربر فعال روزانه دارد.