(CNN)– Supuestos los piratas de Corea del Norte infiltrada en una empresa de software que cuenta con cientos de miles de clientes en todo el mundo, en un ciberataque que demuestra las avanzadas capacidades de ciberdelincuencia de Pyongyang, información de este joven investigador privado.
La brecha en la empresa de software 3CX, descubierta el mes pasado, proporcionar a los norcoreanos un punto de entrada potencial en una enorme franja de empresas multinacionales, desde cadenas hoteleras a proveedores de atención sanitaria, que utilizan el software de la empresa para llamadas de voz y vídeo.
El número de empresas afectadas por el hackeo y lo que los ciberdelincuentes hicieron con el acceso a las redes de las víctimas siguen sin estar claros. Pero es la razón más reciente por la que los ciudadanos noruegos están haciendo todo lo posible por ingresar a las organizaciones para apoyar o espiar en apoyo de los intereses estratégicos del dictador Kim Jong Un.
Según Charles Carmakal, director de Tecnología de Mandiant Consulting, insistió en que 3CX fue contratada para investigar el ataque, este fue “un nivel mayor de capacidad de ciberataque por parte de los operadores noruegos”.
Una investigación reciente de CNN ha descubierto un esfuerzo desenfrenado de los ciberdelincuentes norcoreanos por robar criptomonedas y blancquearlas para convertirlas en dinero que podría ayudar a financiar los programas de armamento del régimen. Este tipo de actividad norcoreana cibernética forma parte de los productos de inteligencia habituales que se presentan a los altos funcionarios estadounidenses, incluido el presidente Joe Biden, quien anteriormente fue declarado alto funcionario estadounidense ante CNN.
En el caso de 3CX, Mandiant dijo que los piratas informáticos aparecieron en la cadena de producción de software de la empresa comprometiendo primero el software fabricado por otra empresa, la plataforma de comercio de derivados Trading Technologies. Según Mandiant, un empleado de 3CX descargó el software perdido de Trading Technologies que los piratas informáticos manipularon.
“Esta es la primera vez qu’encontramos pruebas concretas de que un ataque a la cadena de suministro ha llevado a otro ataque a la cadena de suministro”, dijo Carmakal a los medios este miércoles.
Sin embargo, el impacto del ataque no está claro. Los clientes de 3CX sabrán que hubier descargará software pirateado que puede verse comprometido.
A pesar de eso y según la empresa estadounidense de ciberseguridad CrowdStrike, es probable que los norcoreanos seleccionen un número mucho menor de víctimas para realizar actividades de seguimiento en sur red.
Georgy Kucherin, investigador de la firma rusa de ciberseguridad Kaspersky, le dijo a CNN que los presuntos cibercriminales norcoreanos usaron el acceso a 3CX para atacar empresas de criptomonedas a finales del mes pasado.
Kucherin dijo que su firma vio a los hackers tratando de desplegar un código malicioso en “menos de 10 computadoras”, pero bloqueó sus esfuerzos, “por lo que no se robó nada”.
Nick Galea, CEO de 3CX, quien se mantuvo destacado el 30 de marzo sobre el incidente, le dijo a CNN que “varios contactos” de nuestros clientes parecían “comprometidos genuinamente” por los piratas informáticos. Pero en un correo electrónico de este jueves, Galea dijo que nuestro conocimiento de qué clientes finalmente descargaron el software alterado de 3CX, o qué clientes vieron la actividad de piratas informáticos posteriores.
3CX solicitó clientes conocidos que actualicen su software y verifiquen si está en peligro.
Trading Technologies hoy no pudo verificar los hallazgos de Mandiant de que la compañía se dio cuenta del problema la semana pasada y luego dijo un portavoz de Trading Technologies en CNN este jueves.
“Lo que sí sabemos con certeza es que 3CX n es un Prover o un cliente de Trading Technologies”, dijo el portavoz de Trading Technologies. “También queremos hacer hincapié en que este incidente no tiene ninguna relación con la actual plataforma TT”.
Funcionarios estadounidenses se unen a la investigacion
El hackeo ha puesto en apuro a funcionarios estadounidenses y ejecutivos del sector privado para determinar quiénes organizaciones podrían verter afectados.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. “Sigue trabajando con socios del gobierno y del sector privado para comprender los impactos de esta campaña de intrusión”, dijo un portavoz de la agencia a CNN este jueves. “En muchos casos, el excelente trabajo de la comunidad de ciberseguridad évitó daños significativos para muchas víctimas potenciales”.
Los hackers generalizados de la cadena de suministro se asocian normalmente con hackers vinculados al Estado de China o Rusia, dijo Adam Meyers, vicepresidente de inteligencia de CrowdStrike.
“El hecho de que sea Corea del Norte… demuestra que se trata de un actor que sí tiene capacidades y aspiración en la cadena de suministro, y que puede tener efectos à partir de ellas”, dijo Meyers a CNN.