(CNN)– suposiciones piratas informáticos Funcionarios norcoreanos se infiltraron en una empresa de software que tiene cientos de miles de clientes en todo el mundo, en un ataque cibernético que demuestra las capacidades avanzadas de Pyongyang en materia de ciberdelincuencia, dijeron el jueves investigadores privados.
La brecha en la empresa de software 3CX, descubierta el mes pasado, proporcionó a los norcoreanos un punto de entrada potencial a una gran cantidad de empresas multinacionales, desde cadenas hoteleras hasta proveedores de atención médica, que utilizan el software de la empresa para llamadas telefónicas. voz y vídeo.
El número de empresas afectadas por el hackeo y lo que hicieron los ciberdelincuentes con el acceso a las redes de las víctimas sigue sin estar claro. Pero es la evidencia más reciente de que los ciberdelincuentes de Corea del Norte están haciendo todo lo posible para entrar en organizaciones para robar o espiar en apoyo de los intereses estratégicos del dictador Kim Jong Un.
Según Charles Carmakal, CTO de Mandiant Consulting, una empresa que 3CX contrató para investigar el ataque, muestra «un mayor nivel de capacidad cibernética ofensiva por parte de los operativos de Corea del Norte».
Una investigación reciente de CNN descubrió un esfuerzo desenfrenado por parte de los ciberdelincuentes de Corea del Norte para robar criptomonedas y convertirlas en dinero que podría ayudar a financiar los programas de armas del régimen. Este tipo de actividad cibernética de Corea del Norte es parte de los productos de inteligencia habituales que se presentan a los principales funcionarios estadounidenses, incluido a veces al presidente Joe Biden, dijo anteriormente un alto funcionario estadounidense a CNN.
En el caso de 3CX, Mandiant dijo que los piratas informáticos irrumpieron en el entorno de producción de software de la empresa al comprometer primero el software creado por otra empresa, la plataforma de negociación de derivados Trading Technologies. Según Mandiant, un empleado de 3CX descargó un software de Trading Technologies que los piratas informáticos habían manipulado.
«Esta es la primera vez que encontramos evidencia concreta de que un ataque a la cadena de suministro ha llevado a otro ataque a la cadena de suministro», dijo Carmakal a los periodistas el miércoles.
Sin embargo, el impacto del ataque no está claro. Cualquiera de los clientes de 3CX que hubiera descargado el software pirateado habría sido susceptible de verse comprometido.
A pesar de ello, y según la empresa estadounidense de ciberseguridad CrowdStrike, es probable que los norcoreanos seleccionaran un número mucho menor de víctimas para realizar actividades de vigilancia en su red.
Georgy Kucherin, investigador de la firma rusa de ciberseguridad Kaspersky, le dijo a CNN que los presuntos ciberdelincuentes norcoreanos utilizaron el acceso a 3CX para atacar a las empresas de criptomonedas a fines del mes pasado.
Kucherin dijo que su firma vio a los piratas informáticos tratando de implementar código malicioso en «menos de 10 computadoras», pero bloqueó sus esfuerzos, «por lo que no robaron nada».
Nick Galea, CEO de 3CX, minimizó el alcance del incidente el 30 de marzo y le dijo a CNN que «muy pocos» de sus clientes parecían «realmente comprometidos» por los piratas informáticos. Pero en un correo electrónico el jueves, Galea dijo que no sabe cuántos clientes finalmente descargaron el software alterado de 3CX, o cuántos clientes vieron actividad de piratería posterior.
3CX solicitó a sus clientes que actualicen su software y verifiquen si está comprometido.
Trading Technologies aún no ha podido verificar los hallazgos de Mandiant porque la compañía se enteró del problema la semana pasada, dijo un portavoz de Trading Technologies a CNN el jueves.
«Lo que sí sabemos con certeza es que 3CX no es un proveedor ni un cliente de Trading Technologies», dijo el vocero de Trading Technologies. «También queremos enfatizar que este incidente no tiene nada que ver con la plataforma TT actual».
Funcionarios estadounidenses se unen a la investigación
El hackeo ha obligado a funcionarios estadounidenses y ejecutivos del sector privado a determinar cuántas organizaciones estadounidenses podrían verse afectadas.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. “continúa trabajando con socios gubernamentales y del sector privado para comprender los impactos de esta campaña de intrusión”, dijo un portavoz de la agencia a CNN el jueves. «En muchos casos, el excelente trabajo de la comunidad de seguridad cibernética evitó un daño significativo para muchas víctimas potenciales».
Los ataques generalizados a la cadena de suministro generalmente se asocian con piratas informáticos con vínculos con el estado de China o Rusia, dijo Adam Meyers, vicepresidente de inteligencia de CrowdStrike.
“El hecho de que sea Corea del Norte… muestra que este es un actor que tiene capacidades y aspiraciones en la cadena de suministro, y puede tener efectos a partir de ellas”, dijo Meyers a CNN.