A empresa de segurança cibernética Mandiant diz ter encontrado o cliente zero, a fonte original de um hack que invadiu o aplicativo de telefonia VoIP da 3CX, afetando a maioria de seus 600.000 clientes.
Fonte da imagem: Pixabay
De acordo com a empresa, o ataque ao computador do funcionário da 3CX foi possibilitado por um ataque anterior à cadeia de suprimentos de software realizado por hackers que comprometeram as redes de computadores da 3CX, que infectaram o aplicativo do desenvolvedor de software financeiro Trading Technologies.
Os hackers conseguiram injetar um backdoor no aplicativo X_Trader da Trading Technologies, que, após ser instalado no computador de um funcionário da 3CX, permitiu que os hackers acessassem o servidor 3CX usado para desenvolvimento de software, danificassem o aplicativo de instalação 3CX e infectassem os computadores do clientes da empresa. Acredita-se que o grupo de hackers que fez isso, conhecido como Kimsuky, Emerald Sleet (ou Velvet Chollima), esteja trabalhando para o governo norte-coreano.
«Esta é a primeira vez que encontramos evidências concretas de que um ataque à cadeia de suprimentos de software levou a outro ataque à cadeia de suprimentos de software”, disse Charles Carmakal, CTO da Mandiant Consulting.
A Trading Technologies encerrou o suporte ao X_Trader em 2020, embora o aplicativo estivesse disponível para download até 2022. A Mandiant acredita, com base na assinatura digital do programa X_Trader, que o comprometimento da cadeia de suprimentos da Trading Technologies ocorreu antes de novembro de 2021, enquanto o ataque subsequente à cadeia de suprimentos 3CX ocorreu no início deste ano.
Um porta-voz da Trading Technologies disse à WIRED que a empresa alerta os usuários há 18 meses que o X_Trader não terá suporte a partir de 2020. Ele observou que o X_Trader é uma ferramenta para profissionais de negociação, então não está claro como o aplicativo foi parar no computador de um funcionário da 3CX. O representante acrescentou que a 3CX não é cliente da Trading Technologies e que o comprometimento do aplicativo X_Trader não afetará seu software existente de forma alguma.
O objetivo do hacking ainda não foi esclarecido. Mandiant admite que isso se deve em parte ao roubo de criptomoedas. Anteriormente, a Kaspersky Lab informou que entre os clientes afetados do 3CX estavam empresas relacionadas a criptomoedas.
Mas Karmakal acredita que, dada a escala do hacking na cadeia de suprimentos, isso pode ser apenas a ponta do iceberg. “Acho que, com o tempo, aprenderemos sobre muito mais vítimas, pois isso está associado a um desses dois ataques às cadeias de suprimentos de software”, disse ele.