Le fournisseur de téléphonie d'entreprise 3CX a confirmé que des pirates informatiques soutenus par la Corée du Nord étaient à l'origine de l'attaque de la chaîne d'approvisionnement du mois dernier qui semblait cibler les sociétés de crypto-monnaie.

3CX, qui fournit des services de voix, de vidéoconférence et de messagerie en ligne aux entreprises, a travaillé avec la société de cybersécurité Mandiant pour enquêter sur l'attaque. Les pirates ont compromis le logiciel de téléphonie de bureau de l'entreprise, utilisé par des centaines de milliers d'organisations pour implanter des logiciels malveillants voleurs d'informations dans les réseaux d'entreprise de leurs clients.

Pierre Jourdan, directeur de la Sécurité de l'information chez 3CX, dit Mardi, leur enquête confirme que des hackers liés au régime nord-coréen étaient à l'origine de l'attaque.

« Sur la base de l'enquête Mandiant sur l'intrusion 3CX et l'attaque de la chaîne d'approvisionnement jusqu'à présent, ils attribuent l'activité à un cluster nommé UNC4736 », a déclaré Jourdan. « Mandiant estime avec une grande confiance que l'UNC4736 a un lien avec la Corée du Nord. »

Le géant de la cybersécurité CrowdStrike a lié la semaine dernière la violation de 3CX à des pirates qu'il appelle Labyrinth Chollima, une sous-unité du célèbre groupe Lazarus, connu pour ses piratages furtifs ciblant les échanges de cryptomonnaies afin de financer son programme d'armes nucléaires. Kaspersky Lab, basé en Russie, a également attribué la faille 3CX à la Corée du Nord.

Kaspersky a dit dans son analyse À la suite de l’attaque, les pirates ont été vus en train de déployer une porte dérobée, baptisée « Gopuram », sur les systèmes infectés, notant que les attaquants ont « un intérêt spécifique pour les sociétés de crypto-monnaie ». Kaspersky a ajouté que Gopuram était déployé sur moins de dix machines, indiquant que les attaquants ont utilisé cette porte dérobée avec une « précision chirurgicale ».

Dans un message du forum la semaine dernière, Nick Galea, PDG de 3CX, a déclaré que la société n’avait connaissance que de « quelques cas » dans lesquels des logiciels malveillants ont été déclenchés. Cependant, l’impact de l’attaque, ainsi que la manière dont 3CX a été compromis, restent inconnus. La société affirme compter plus de 600 000 clients professionnels dans le monde et plus de 12 millions d'utilisateurs quotidiens actifs.