Hackers norcoreanos se infiltran en la empresa mundial de software a través del ciberataque

(CNN)– Supuestos piratas informáticos Corea del Norte se ha infiltrado en una empresa de software que tiene cientos de miles de clientes en todo el mundo, en un ciberataque que muestra las capacidades avanzadas de ciberdelincuencia de Pyongyang, informando a estos jóvenes investigadores privados.

Irrumpir en la empresa de software 3CX, después de descubrir el pasado, ha brindado a los noruegos un punto de entrada potencial en un enorme mercado de empresas multinacionales, desde hoteleros comunes y corrientes hasta proveedores de atención médica, que utilizan el software de la empresa para llamadas de voz. y vídeo

El número de empresas afectadas por el hackeo y el hecho de que ciberdelincuentes hicieron con el acceso a las redes de las víctimas siguen sin estar claros. Pero es la mayoría de la gente quien sabe que los criminales noruegos están haciendo todo lo posible para entrar en organizaciones para robar o espiar en ayuda de los intereses estratégicos del dictador Kim Jong Un.

Según Charles Carmakal, director de Tecnología de Mandiant Consulting, empresa de 3CX contratada para investigar el ataque, esto demuestra «un mayor nivel de capacidad ofensiva cibernética por parte de los operativos norcoreanos».

Una investigación reciente de CNN descubrió un fervor desenfrenado de los ciberdelincuentes de Corea del Norte por robar criptomonedas y blanquearlas para convertirlas en efectivo que podría ayudar a financiar los programas de armas del régimen. Este tipo de actividad cibernética noruega es parte de los productos de inteligencia habituales presentados a altos funcionarios estadounidenses, incluido a veces al presidente Joe Biden, después de que un alto funcionario estatal le dijera previamente a CNN.

En el caso de 3CX, Mandiant dijo que los piratas informáticos irrumpieron en el entorno de fabricación de software de la empresa al comprometer primero el software fabricado por otra empresa, la plataforma comercial Trading Technologies. Posteriormente Mandiant, un empleado de 3CX descargó el software de la desaparecida Trading Technologies que los hackers habían manipulado.

«Esta es la primera vez que nos encontramos con pruebas concretas de cómo un ataque a la cadena de ganado llevó a otro ataque a la cadena de ganado», declaró Carmakal al medio oriente el miércoles.

Sin embargo, el impacto del ataque no está claro. Cualquier cliente de 3CX que descargó el software pirateado era susceptible de verse comprometido.

Tras sopesar y seguir a la firma estadounidense de ciberseguridad CrowdStrike, es probable que los norcoreanos hayan seleccionado un número mucho menor de víctimas para realizar actividades de seguimiento en números rojos.

Georgy Kucherin, investigador de la firma rusa de ciberseguridad Kaspersky, le dijo a CNN que los ciberdelincuentes de Corea del Norte usaron el acceso a 3CX para acabar con las empresas de criptomonedas a finales de este mes.

Kucherin dijo que su firma va en contra de los piratas informáticos que intentan eliminar el código malicioso en «menos de 10 computadoras», pero bloqueó sus esfuerzos «porque no fue robado».

Nick Galea, CEO de 3CX, se mantuvo prominente el 30 de marzo en el momento del incidente y le dijo a CNN que «muy pocos» de sus clientes aparenten están «realmente comprometidos» por los piratas informáticos. Pero en una correspondencia electrónica de estos jóvenes, Galea dijo que no sabe qué clientes finalmente descargaron el software 3CX pirateado, o qué clientes tienen actividad de piratería en el back-end.

3CX ha pedido a sus clientes que obtengan la licencia de su software y comprendan si está en peligro.

Trading Technologies no pudo verificar todas las conclusiones de Mandiant porque la compañía se dio cuenta del problema la semana pasada, luego de que un portal de Trading Technologies le dijera a CNN esta semana.

“Sabemos con certeza que 3CX no es un proveedor ni un cliente de Trading Technologies”, dijo el portavoz de Trading Technologies. «También queremos hacer hincapié en que este incidente no tenga ninguna relación con la plataforma TT actual».

Funcionarios estadounidenses se suman a la investigación

Hackeo se unió a funcionarios estatales y ejecutivos del sector privado para determinar qué organizaciones estatales podrían verse afectadas.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. “Continúa trabajando con socios gubernamentales y del sector privado para comprender los impactos de esta campaña de intrusión”, dijo a CNN un portavoz de la agencia esta semana. «En muchos casos, el excelente trabajo de la comunidad de seguridad cibernética evitó un daño significativo a muchas víctimas potenciales».

Los hackeos de administración generalizados generalmente se asocian con piratas informáticos vinculados al estado chino o ruso, según Adam Meyers, vicepresidente de inteligencia de CrowdStrike.

“Qué diablos es Corea del Norte… demuestra que es un actor que tiene habilidades y aspiraciones en la cadena de servicios, y que puede tener efectos más allá de ellos”, dijo Meyers a CNN.

By Jesse Ortiz Camacho