Des hackers nord-coréens suspectés après le piratage d’un logiciel de téléphonie professionnelle

Des hackers nord-coréens suspectés après le piratage d’un logiciel de téléphonie professionnelle

Le constructeur automobile Renault, la compagnie aérienne Air France ou encore la multinationale Schlumberger: comme des centaines de milliers d’entreprises, ces organisations d’origine française sont sous la menace d’une attaque par rebond – “a supply chain attack” dans le jargon de la sécurité informatique – après la découverte d’une faille chez le fournisseur de téléphonie professionnelle 3CX.

Comme l’ont remarqué il y a quelques jours plusieurs sociétés de cybersécurité, l’un des logiciels de cette entreprise fondée en 2005 et qui revendique 12 millions d’utilisateurs actifs dans le monde a en effet été compromis. L’installation de l’application de chat et de conférence audio et vidéo 3CXDesktopApp permettait le déploiement de charges malveillantes chez les utilisateurs, signale CrowdStrike.

publicité

Campagne de haut niveau

Selon SentinelOne, qui a repéré des comportements informatiques suspects à partir du 22 mars, l’application détournée ouvrait ainsi la voie à un programme espion. Ce qui laisse à penser que l’objectif de cette campagne malveillante de haut niveau était de récupérer des informations sensibles comme des mots de passe.

Plusieurs indices suggèrent que cette action était préparée depuis plusieurs mois. L’espace de stockage des logiciels malveillants avait ainsi été créé au début du mois de décembre. L’attaque informatique a été reliée par CrowdStrike à Labyrinth Chollima, l’un des noms de code donné à Lazarus Group, l’un des groupes de hackers les plus actifs de la Corée du Nord.

Mandiant mandatée

Quelques jours après la découverte de l’attaque, le P-DG de 3CX a annoncé avoir mandaté la société de cybersécurité Mandiant, désormais une filiale de Google, pour investiguer sur l’attaque. L’entreprise a également appelé ses clients à désinstaller le logiciel en attendant la publication d’une nouvelle version sûre.

Comme le relève SentinelOne, ce genre de logiciel est une cible très intéressante pour des hackers malveillants. Outre une porte d’entrée sur les ordinateurs infectés, cela permettait également d’avoir un œil sur les communications de l’organisation visée et de les intercepter. La compromission d’un fournisseur rappelle enfin l’attaque menée en 2020 contre SolarWinds, ce piratage complexe d’un logiciel de cette entreprise qui avait affecté par rebond la sécurité de ses clients.

Leave a Reply

Your email address will not be published. Required fields are marked *