Le piratage du logiciel 3CX est peut-être l’affaire de cybersécurité la plus suivie par les experts en 2023, tant cette solution de communication professionnelle est populaire dans le monde. Le 20 avril dernier, l’entreprise spécialisée dans la cyber, Mandiant, a révélé dans un rapport l’origine de cette cyberattaque et toutes les pistes mènent à Pyongyang. Fin mars, plusieurs logiciels de cybersécurité signalent à leur client qu’un danger a été détecté sur l’application 3CX. Les sociétés alertent l’éditeur qui découvre à son tour que son produit a été compromis et le confirme à travers un communiqué.
Pour comprendre l’ampleur de la menace : 3CX c’est plus de 600 000 utilisateurs à travers le monde, dont les employés de sociétés telles que Coca-Cola, McDonald’s, BMW, Honda, Air France, Toyota, Mercedes-Benz et IKEA.
Comment des hackers nord-coréens ont infiltré l’une des solutions de téléphonie d’entreprise les plus populaires au monde ? 3CX a fait appel aux chercheurs de Mandiant, une société détenue par Google, pour trouver la source de cette opération. Comme souvent, tout est parti d’un employé inattentif. Un employé de la société télécharge un jour l’application X_Trader, une plateforme d’achat et revente d’actions. Elle a été retirée des interfaces professionnelles en 2020, mais une version malveillante de cette appli a été mise en ligne par les hackers début 2022.
Une fois téléchargée, les attaquants ont eu accès au niveau administrateur de l’ordinateur de l’employé de 3CX. À partir de là, ils ont lancé une longue opération d’infiltration dans le système de l’entreprise pour intégrer des lignes de code malveillantes dans le produit phare de la société. Les clients recevaient ainsi des versions « piégées » du logiciel. On parle de « supply chain attack » pour désigner ces méthodes d’infiltration depuis un prestataire de service.
Une opération lancée par la Corée du Nord
Mandiant a confirmé qu’un acteur nord-coréen, connu sous le nom de référence UNC4736, serait à l’origine de l’attaque. Le premier accès au réseau de 3CX aurait lieu vers février 2022. Une vaste opération de compromission de solutions professionnelles, baptisée AppleJeus, aurait été lancée par la dictature de Pyongyang. Les cibles seraient d’abord des sociétés actives dans les cryptomonnaies, des devises que la Corée du Nord cherchent absolument à obtenir pour se financer tout en contournant les embargos.
Selon Reuters, la Corée du Sud a estimé que des pirates informatiques liés à Pyongyang ont dérobé l’an dernier des actifs d’une valeur totale de 630 millions de dollars. Une entreprise de cybersécurité estime quant à elle le butin nord-coréen en 2022 à plus d’un milliard de dollars.
3CX n’est pas la seule victime de cette campagne. L’application malveillante X_Trader a infecté de nombreuses victimes à travers la planète, qui commencent à peine à être découvertes. Le 21 avril, l’équipe d’experts en cyber de Symantec dévoile dans un rapport que deux groupes du secteur de l’énergie ont été touchés, un aux États-Unis, l’autre en Europe. Deux autres sociétés de la finance ont également été affectées. Dans chaque entreprise, un employé avait téléchargé X_Trader.
3CX a mis en ligne ses recommandations pour désinstaller les versions compromises. Il est naturellement recommandé de vérifier qu’aucun employé n’a téléchargé l’application X_Trader. Le nombre de victimes potentielles est probablement sous-estimé à ce jour.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.