Der Unternehmenstelefonanbieter 3CX hat bestätigt, dass von Nordkorea unterstützte Hacker hinter dem Angriff auf die Lieferkette im vergangenen Monat stecken, der offenbar auf Kryptowährungsunternehmen abzielte.
3CX, das Online-Sprach-, Videokonferenz- und Messaging-Dienste für Unternehmen bereitstellt, arbeitete mit dem Cybersicherheitsunternehmen Mandiant zusammen, um den Angriff zu untersuchen. Hacker haben die Desktop-Telefonsoftware des Unternehmens kompromittiert, die von Hunderttausenden von Organisationen verwendet wird, um informationsstehlende Malware in die Unternehmensnetzwerke ihrer Kunden einzuschleusen.
Pierre Jourdan, Chief Information Security Officer bei 3CX, genannt am Dienstag, dass ihre Untersuchung bestätigt, dass Hacker mit Verbindungen zum nordkoreanischen Regime hinter dem Angriff stecken.
„Basierend auf der bisherigen Untersuchung von Mandiant zum 3CX-Intrusions- und Lieferkettenangriff ordnen sie die Aktivität einem Cluster namens UNC4736 zu“, sagte Jourdan. „Mandiant geht mit großer Zuversicht davon aus, dass UNC4736 eine nordkoreanische Verbindung hat.“
Der Cybersicherheitsriese CrowdStrike hat letzte Woche die 3CX-Verletzung mit Hackern in Verbindung gebracht, die er Labyrinth Chollima nennt, eine Untereinheit der berüchtigten Lazarus Group, die für heimliche Hacks bekannt ist, die auf Kryptowährungsbörsen abzielen, um ihr Atomwaffenprogramm zu finanzieren. Auch das in Russland ansässige Kaspersky Lab schrieb die 3CX-Sicherheitslücke Nordkorea zu.
sagte Kaspersky seine Analyse des Angriffs, dass die Hacker gesehen wurden, wie sie eine Hintertür mit dem Namen „Gopuram“ auf infizierten Systemen einsetzten, und stellten fest, dass die Angreifer „ein besonderes Interesse an Kryptowährungsunternehmen“ haben. Kaspersky fügte hinzu, dass Gopuram auf weniger als zehn Maschinen eingesetzt wurde, was darauf hindeutet, dass die Angreifer diese Hintertür mit „chirurgischer Präzision“ benutzten.
In einem Forumsbeitrag Letzte Woche sagte Nick Galea, CEO von 3CX, dass dem Unternehmen nur „eine Handvoll Fälle“ bekannt seien, in denen Malware ausgelöst wurde. Die Auswirkungen des Angriffs sowie die Art und Weise, wie 3CX kompromittiert wurde, bleiben jedoch unbekannt. Das Unternehmen behauptet, weltweit über 600.000 Geschäftskunden und täglich mehr als 12 Millionen aktive Benutzer zu haben.