On commence à en savoir un peu plus sur le piratage du logiciel de téléphonie professionnelle 3CXDesktopApp, une affaire qui menaçait par rebond les entreprises françaises utilisatrices de la solution, du constructeur automobile Renault à la compagnie aérienne Air France.
La société de cybersécurité Mandiant, mandatée pour mener l’enquête, vient en effet de dévoiler le résultat de ses recherches. Et pour les experts de cette filiale de Google Cloud, l’origine de cette attaque par rebond – « a supply chain attack » dans le jargon de la sécurité informatique – est à trouver dans une première… attaque par rebond.
Charge malveillante dans un progiciel financier
Selon Mandiant, c’est en effet l’installation en avril 2022 d’un progiciel financier falsifié, X_Trader qui a ouvert la voie aux pirates. Bien que ce service destiné à suivre les marchés ait périclité en 2020, le progiciel était toujours disponible en téléchargement sur le site de son éditeur, Trading Technologies.
Sauf que le fichier proposé au téléchargement contenait en fait une charge malveillante ouvrant une porte dérobée. Cette première intrusion avait ensuite permis aux pirates de s’infiltrer dans le système d’information pour ensuite réussir à implanter dans l’application phare de l’entreprise sa charge malveillante.
Trading Technologies s’est étonné d’un tel mode opératoire dans des déclarations transmises à la presse. Il n’y avait “aucune raison” de télécharger le logiciel sachant qu’il n’était plus pris en charge, a indiqué l’entreprise.
Corée du Nord
Mandiant estime que l’opération a été menée par un groupe de hackers liés à la Corée du Nord. Une conclusion qui s’appuie sur un partage d’infrastructures avec des acteurs malveillants déjà identifiés. Google avait déjà également signalé en mars 2022 la compromission du site de Trading technologies par deux groupes d’attaquants soutenus par le régime de Pyongyang.
L’affaire rappelle, résume Mandiant, l’inventivité des pirates nord-coréens pour exploiter des failles afin de mener leurs opérations. Il s’agissait très probablement pour les pirates d’arriver à récolter des fonds financiers, une façon de soutenir le régime.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));