Gli hacker sostenuti da Pyongyang hanno violato la società di software aziendale statunitense JumpCloud per prendere di mira i suoi clienti di criptovalute.
La società di software americana ha confermato giovedì che gli hacker sostenuti dallo stato nordcoreano hanno fatto irruzione nei suoi sistemi il mese scorso. Sebbene all’epoca JumpCloud non abbia identificato la nazionalità degli hacker, il 20 luglio i ricercatori delle società di sicurezza informatica CrowdStrike e SentinelOne hanno attribuito la violazione agli hacker sostenuti dalla Corea del Nord chiamati Lazarus, un noto gruppo noto per aver preso di mira entità crittografiche come Ronin Network e Harmony’s Horizon Bridge. Anche gli specialisti di Mandiant, sussidiaria di Alphabet, hanno attribuito l’attacco alla Corea del Nord.
È abbastanza comune per la Corea del Nord prendere di mira le aziende di criptovaluta nel tentativo di finanziare il suo regime commenta Axios osservando però che l’incidente segna un cambio di rotta degli attacchi manovrati da Pyongyang, dalle società crittografiche ad azioni contro la catena di approvvigionamento più furtivi e avanzati.
Tutti i dettagli.
L’ATTACCO SUBITO DA JUMPCLOUD
JumpCloud, la cui piattaforma consente alle aziende di autenticare, autorizzare e gestire utenti e dispositivi, ha confermato che meno di cinque clienti e meno di 10 dispositivi sono stati compromessi dagli hacker. Il software di JumpCloud è utilizzato da oltre 180.000 organizzazioni e l’azienda ha più di 5.000 clienti paganti, segnala TechCrunch.
LA POSIZIONE DELL’AZIENDA IT AMERICANA
“Dopo aver rilevato l’incidente, abbiamo immediatamente agito in base al nostro piano di risposta agli incidenti per mitigare la minaccia, proteggere la nostra rete e il nostro perimetro, comunicare con i nostri clienti e coinvolgere le forze dell’ordine”, ha dichiarato a TechCrunch la portavoce di JumpCloud Josie Judy il 20 luglio.
PER GLI ESPERTI UN SOTTOGRUPPO DEL COLLETTIVO LAZARUS DIETRO LA VIOLAZIONE
L’azienda con sede a Louisville, in Colorado, non ha specificato chi fosse l’aggressore, ma le società di sicurezza informatica CrowdStrike e SentinelOne hanno attributo l’attacco in modo indipendente al gruppo criminale informatico nordcoreano Lazarus, famigerato per l’hack di Sony del 2014. Anche Mandiant ha rilevato che all’origine dell’attacco c’è un attore nordcoreano.
In particolare, CrowdStrike, che ha aiutato JumpCloud a indagare sull’incidente, ha affermato che un sottogruppo di Lazarus, chiamato “Labyrinth Chollima”, era direttamente responsabile dell’hacking. Il gruppo è “uno dei gruppi di hacker nordcoreani più prolifici”, afferma Crowdstrike sul suo sito web. È stato anche responsabile di un attacco a 3CX, una società di software per telefoni, ad aprile.
Adam Meyers, vicepresidente senior per l’intelligence di CrowdStrike, ha dichiarato a Reuters che gli hacker, che la società di sicurezza informatica monitora dal 2009 e descrive come uno degli “avversari più prolifici della Repubblica popolare democratica di Corea (RPDC)”, hanno un lungo storico di violazioni di soggetti legati al settore delle criptovalute.
Secondo Reuters – e gli soccorritori di Mandiant hanno concordato in una dichiarazione via e-mail – che gli hacker nordcoreani probabilmente hanno preso di mira JumpCloud come un modo per raggiungere i suoi clienti di criptovaluta.
AZIENDE DI CRIPTOVALUTE NEL TARGET DEGLI HACKER
La Corea del Nord ha una lunga storia di utilizzo di operazioni di furto di criptovalute per finanziare il suo programma di armi nucleari autorizzato. Il valore da record delle risorse digitali che gli attori collegati alla Corea del Nord hanno rubato nel 2022 è stimato in 1,7 miliardi di dollari secondo gli esperti delle Nazioni Unite, come riportato da Quartz. Ovviamente, il paese guidato da Kim Jon Un ha negato di aver organizzato rapine di valuta digitale, nonostante le numerose prove – compresi i rapporti delle Nazioni Unite – che dimostrano il contrario, sottolinea Reuters.
Tuttavia, gli attacchi precedenti in genere prendevano di mira direttamente le aziende di criptovaluta. Ora invece sembra che gli aggressori puntino alle società della catena di approvvigionamento.
Finora, gli attacchi alla catena di approvvigionamento della Corea del Nord non sono riusciti a raggiungere la stessa portata e impatto di altri attacchi più importanti, come la campagna di spionaggio informatico russa che ha preso di mira l’azienda IT SolarWinds e ha colpito circa 100 aziende.
All’inizio di quest’anno, come già detto prima, gli hacker del gruppo Lazarus hanno preso di mira lo strumento di videoconferenza 3CX in un doppio attacco alla catena di approvvigionamento per raggiungere una manciata di aziende di criptovaluta. Ma, come per la violazione subita da Jumpcloud, anche l’attacco 3CX ha colpito solo una manciata di società crittografiche.
