Comme disait un grand sage du 21ème siècle : « Dans le monde de la cybersécurité, les attaques sont comme les couches d’un oignon – plus on les pèle, plus ça nous fait pleurer. »
La société 3CX, fournisseur de téléphones pour entreprises, a été victime d’une attaque informatique particulièrement sophistiquée. Qui plus est, il s’agissait d’une attaque par chaîne d’approvisionnement. Le comble de l’ironie? Les enquêteurs ont découvert que 3CX avait été compromis… par une autre attaque par chaîne d’approvisionnement!
Mandiant, la société de cybersécurité chargée de l’enquête, a révélé dans son rapport que les attaquants avaient compromis 3CX en utilisant une version malveillante du logiciel financier X_Trader, développé par Trading Technologies. Ce logiciel, pourtant obsolète depuis 2020, était encore disponible en téléchargement sur le site de Trading Technologies en 2022.
Les pirates informatiques ont réussi à compromettre 3CX grâce à une version malveillante du logiciel X_Trader.
D’après Mandiant, le site de Trading Technologies aurait été piraté par un groupe de hackers soutenus par l’État nord-coréen, désigné sous le nom de UNC4736. Des informations corroborent cette théorie, notamment un rapport de Google datant de l’année dernière, qui confirme que le site web de Trading Technologies avait été compromis en février 2022 lors d’une opération nord-coréenne visant des utilisateurs de technologies financières et de cryptomonnaies.
L’enquête de Mandiant a révélé qu’un employé de 3CX avait téléchargé en avril 2022 une version corrompue du logiciel X_Trader sur le site de Trading Technologies. Les pirates avaient pris soin de signer numériquement cette version avec un certificat de signature de code valide, afin de la faire passer pour légitime. Une fois installé, le logiciel a ouvert une porte dérobée sur l’appareil de l’employé, offrant aux attaquants un accès complet au système compromis.
Cet accès a été utilisé par les pirates pour se propager dans le réseau de 3CX et compromettre l’application phare de téléphonie de bureau de l’entreprise, afin de déployer un logiciel espion au sein des réseaux de leurs clients.
En conclusion, pour reprendre les mots de Charles Carmakal, directeur technique de Mandiant : « C’est la première fois que nous trouvons des preuves concrètes d’une attaque par chaîne d’approvisionnement entraînant une autre attaque par chaîne d’approvisionnement. » En d’autres termes, il faut toujours se méfier des oignons, même lorsqu’ils ont l’air parfaitement innocents!
Source : Techcrunch
