Vụ Vi Phạm Lớn 3CX Thực Tế Là 2 Cuộc Tấn Công Chuỗi Cung Ứng

Ngành công nghiệp an ninh mạng đã hỗn loạn trong những tuần gần đây để hiểu rõ nguồn gốc và hậu quả của vụ vi phạm của 3CX, một nhà cung cấp VoIP mà phần mềm của họ bị nhiễm bẩn bởi nhóm hacker liên kết với Triều Tiên trong một cuộc tấn công chuỗi cung ứng đã phát tán mã độc đến hàng trăm nghìn khách hàng của mình. Công ty an ninh mạng Mandiant hiện đã có câu trả lời cho bí ẩn về cách 3CX bị xâm nhập bởi những hacker được tài trợ bởi quốc gia: Công ty này là một trong số vô số nạn nhân bị nhiễm bẩn bởi phần mềm đã bị nhiễm bẩn của một công ty khác—một ví dụ hiếm, hoặc có lẽ là chưa từng có, về cách một nhóm hacker sử dụng một cuộc tấn công chuỗi cung ứng phần mềm để thực hiện một cuộc tấn công thứ hai. Gọi đó là một phản ứng chuỗi cung ứng.

Hôm nay, Mandiant tiết lộ rằng họ đã tìm thấy bệnh nhân số 0 cho hoạt động hack rộng lớn đó, tác động mạnh đến một phần quan trọng của 600,000 khách hàng của 3CX. Theo Mandiant, máy tính cá nhân của một nhân viên 3CX đã bị hack thông qua một cuộc tấn công chuỗi cung ứng phần mềm trước đó đã chiếm đoạt một ứng dụng của công ty phần mềm tài chính Trading Technologies, do nhóm hacker giống như những người đã tấn công 3CX. Nhóm hacker đó, được biết đến với cái tên Kimsuky, Emerald Sleet, hoặc Velvet Chollima, được cho là đang làm việc thay mặt cho chế độ Triều Tiên.

Mandiant cho biết những hacker somehow đã đưa mã cửa sau vào một ứng dụng có sẵn trên trang web của Trading Technology được biết đến là X_Trader. Ứng dụng bị nhiễm bệnh đó, khi sau đó được cài đặt trên máy tính của một nhân viên 3CX, sau đó cho phép nhóm hacker lan truyền quyền truy cập của họ qua mạng của 3CX, đến một máy chủ 3CX được sử dụng cho phát triển phần mềm, làm nhiễm bẩn một ứng dụng cài đặt của 3CX và làm nhiễm bẩn một phạm vi rộng lớn của khách hàng của nó, theo Mandiant.

“Điều này là lần đầu tiên chúng tôi đã tìm thấy bằng chứng rõ ràng về một cuộc tấn công chuỗi cung ứng phần mềm dẫn đến một cuộc tấn công chuỗi cung ứng phần mềm khác,” nói Charles Carmakal, Giám đốc công nghệ của Mandiant Consulting. “Vì vậy, đây là một sự kiện rất lớn và rất quan trọng đối với chúng tôi.”

Mandiant cho biết họ chưa được thuê bởi Trading Technologies để điều tra vụ tấn công ban đầu làm lợi dụng phần mềm X_Trader của họ, nên họ không biết nhóm hacker đã làm thay đổi ứng dụng của Trading Technologies như thế nào hoặc có bao nhiêu nạn nhân—ngoại trừ 3CX—có thể đã bị ảnh hưởng từ việc nhiễm bệnh của ứng dụng giao dịch đó. Công ty lưu ý rằng Trading Technologies đã ngừng hỗ trợ X_Trader vào năm 2020, mặc dù ứng dụng vẫn còn có sẵn để tải xuống đến năm 2022. Dựa trên chữ ký số trên phần mềm độc hại X_Trader bị nhiễm bệnh, Mandiant tin rằng sự chi phối chuỗi cung ứng của Trading Technologies đã xảy ra trước tháng 11 năm 2021, nhưng cuộc tấn công chuỗi cung ứng theo sau của 3CX không xảy ra cho đến đầu năm nay.

Một người phát ngôn của Trading Technologies cho biết công ty đã cảnh báo người dùng trong 18 tháng rằng X_Trader sẽ không còn được hỗ trợ vào năm 2020, và rằng, với việc X_Trader là một công cụ dành cho các chuyên gia giao dịch, không có lý do gì mà nó nên được cài đặt trên máy tính của 3CX. Người phát ngôn thêm rằng 3CX không phải là khách hàng của Trading Technologies, và bất kỳ sự chi phối của ứng dụng X_Trader nào cũng không ảnh hưởng đến phần mềm hiện tại của công ty. 3CX không phản hồi lại yêu cầu bình luận của MYTOUR.

Điều mà nhóm hacker Triều Tiên muốn đạt được với cuộc tấn công chuỗi cung ứng phần mềm liên kết của họ vẫn chưa hoàn toàn rõ ràng, nhưng có vẻ như phần nào được thúc đẩy bởi việc đánh cắp đơn giản. Hai tuần trước, công ty an ninh mạng Kaspersky tiết lộ rằng ít nhất một số nạn nhân bị mục tiêu bằng ứng dụng 3CX bị nhiễm bệnh liên quan đến tiền điện tử đặt tại "Tây Á", mặc dù họ từ chối nêu tên. Kaspersky phát hiện rằng, như thường lệ trong những cuộc tấn công chuỗi cung ứng phần mềm lớn, nhóm hacker đã sàng lọc qua các mục tiêu tiềm năng và chỉ gửi một phần của phần mềm độc hại giai đoạn thứ hai đến một tỷ lệ rất nhỏ trong số hàng trăm nghìn mạng bị nhiễm bệnh, nhắm mục tiêu chúng với “phẫu thuật chính xác.”

Mandiant đồng ý rằng ít nhất một mục tiêu của nhóm hacker liên quan đến Triều Tiên không nghi ngờ là ăn cắp tiền điện tử: Nó trỏ đến các phát hiện trước đây từ Nhóm Phân tích Rủi ro của Google rằng AppleJeus, một phần mềm độc hại liên quan đến cùng một nhóm hacker, đã được sử dụng để tấn công các dịch vụ tiền điện tử thông qua một lỗ hổng trong trình duyệt Chrome của Google. Mandiant cũng phát hiện rằng cùng một cổng sau trong phần mềm của 3CX đã được chèn vào một ứng dụng tiền điện tử khác, CoinGoTrade, và nó chia sẻ cơ sở hạ tầng với một ứng dụng giao dịch khác có chứa cổng sau, JMT Trading.

Tất cả những điều đó, kết hợp với sự tập trung vào Trading Technologies của nhóm, đều cho thấy một sự chú ý đặc biệt vào việc ăn cắp tiền điện tử, theo lời của Ben Read, Trưởng phòng Thông tin tình báo đe dọa mạng của Mandiant. Một cuộc tấn công chuỗi cung ứng rộng lớn như cuộc tấn công vào phần mềm của 3CX sẽ “đưa bạn đến những nơi mà người ta đang xử lý tiền,” Read nói. “Đây là một nhóm tập trung mạnh mẽ vào việc kiếm tiền.”

Nhưng Carmakal của Mandiant lưu ý rằng với quy mô của những cuộc tấn công chuỗi cung ứng này, những nạn nhân tập trung vào tiền điện tử có thể chỉ là phần nổi của tảng băng. “Tôi nghĩ chúng ta sẽ biết thêm nhiều nạn nhân hơn theo thời gian liên quan đến một trong hai cuộc tấn công chuỗi cung ứng phần mềm này,” ông nói.

Trong khi Mandiant mô tả các vụ tấn công vào Trading Technologies và 3CX như là trường hợp đầu tiên được biết đến của một cuộc tấn công chuỗi cung ứng dẫn đến một cuộc tấn công chuỗi cung ứng khác, các nhà nghiên cứu đã đặt ra giả định trong nhiều năm qua liệu có những sự kiện tương tự nào khác có sự liên kết như vậy. Nhóm Trung Quốc được biết đến với tên Winnti hoặc Brass Typhoon, ví dụ, đã thực hiện không ít hơn sáu cuộc tấn công chuỗi cung ứng phần mềm từ năm 2016 đến 2019. Và trong một số trường hợp đó, phương thức của cuộc tấn công ban đầu của hacker thậm chí không bao giờ được phát hiện—và có thể đã từ một cuộc tấn công chuỗi cung ứng trước đó.

Charles Carmakal của Mandiant lưu ý rằng cũng có dấu hiệu cho thấy nhóm hacker Nga chịu trách nhiệm về cuộc tấn công chuỗi cung ứng SolarWinds nổi tiếng cũng đang thực hiện nhiệm vụ giám sát trên các máy chủ phát triển phần mềm bên trong một số nạn nhân của họ, và có lẽ đang kế hoạch thực hiện một cuộc tấn công chuỗi cung ứng tiếp theo khi họ bị quấy rối.

Sau tất cả, một nhóm hacker có khả năng thực hiện một cuộc tấn công chuỗi cung ứng thường quản lý để đặt một mạng lưới rộng lớn kéo vào mọi loại nạn nhân—một số trong số đó thường là các nhà phát triển phần mềm, mang lại một góc nhìn mạnh mẽ từ đó để thực hiện một cuộc tấn công chuỗi cung ứng tiếp theo, lại một lần nữa đặt lưới. Nếu 3CX thực sự là công ty đầu tiên bị tác động bởi loại phản ứng chuỗi cung ứng như vậy, thì khả năng cao đó sẽ không phải là lần cuối cùng.