Les chercheurs en sécurité affirment qu’ils sont convaincus que des pirates nord-coréens sont à l’origine d’une récente intrusion dans la société de logiciels d’entreprise JumpCloud en raison d’une erreur commise par les pirates.
Mandiant, qui assiste l’un des clients concernés de JumpCloud, a attribué la violation à des pirates travaillant pour le Bureau général de reconnaissance de la Corée du Nord, ou RGB, une unité de piratage qui cible les sociétés de crypto-monnaie et vole les mots de passe des cadres et des équipes de sécurité. La Corée du Nord utilise depuis longtemps les vols de crypto pour financer son programme d’armes nucléaires sanctionné.
Dans un article de blog, Mandiant a déclaré que l’unité de piratage, qu’elle appelle UNC4899 (puisqu’il s’agit d’un nouveau groupe de menaces non classé), a exposé par erreur leurs adresses IP réelles. Les pirates nord-coréens utilisaient souvent des services VPN commerciaux pour masquer leurs adresses IP, mais à « de nombreuses reprises », les VPN ne fonctionnaient pas ou les pirates ne les utilisaient pas lorsqu’ils accédaient au réseau de la victime, exposant leur accès depuis Pyongyang.
Mandiant a déclaré que ses preuves étayaient qu’il s’agissait « d’une erreur OPSEC », faisant référence à la sécurité opérationnelle – la manière dont les pirates tentent d’empêcher la fuite d’informations sur leur activité dans le cadre de leurs campagnes de piratage. Les chercheurs ont déclaré avoir également découvert une infrastructure supplémentaire utilisée dans cette intrusion qui était auparavant utilisée par des hacks attribués à la Corée du Nord.
«Les acteurs de la menace liés à la Corée du Nord continuent d’améliorer leurs capacités cyber-offensives afin de voler la crypto-monnaie. Au cours de l’année écoulée, nous les avons vus mener de multiples attaques sur la chaîne d’approvisionnement, empoisonner des logiciels légitimes et développer et déployer des logiciels malveillants personnalisés sur des systèmes MacOS », a déclaré le CTO de Mandiant, Charles Carmakal. «Ils veulent finalement compromettre les entreprises avec la crypto-monnaie et ils ont trouvé des voies créatives pour y arriver. Mais ils commettent aussi des erreurs qui nous ont permis de leur attribuer plusieurs intrusions.
SentinelOne et CrowdStrike ont également confirmé que la Corée du Nord était à l’origine de l’intrusion JumpCloud.
JumpCloud a déclaré dans un court article la semaine dernière que moins de cinq de ses entreprises clientes et moins de 10 appareils étaient ciblés par la campagne de piratage nord-coréenne. JumpCloud a réinitialisé ses clés API client après avoir signalé une intrusion en juin. JumpCloud compte plus de 200 000 entreprises clientes, dont GoFundMe, ClassPass et Foursquare.