La société américaine de logiciels d’entreprise JumpCloud a été piratée par des pirates nord-coréens du groupe Lazarus, selon des chercheurs en sécurité de SentinelOne, CrowdStrike et Mandiant.
Dans un rapport publié jeudi, le chercheur principal sur les menaces de SentinelOne, Tom Hegel, a lié le groupe de menaces nord-coréen au piratage JumpCloud sur la base de plusieurs indicateurs de compromis partagés par la société dans un récent rapport d’incident.
« En examinant les indicateurs de compromis récemment publiés, nous associons le groupe d’activités de menace à un APT parrainé par l’État nord-coréen », a déclaré Hegel.
« Les IOC sont liés à une grande variété d’activités que nous attribuons à la RPDC, globalement centrées sur l’approche de ciblage de la chaîne d’approvisionnement observée dans les campagnes précédentes. »
La société de cybersécurité CrowdStrike a également officiellement identifié Labyrinth Chollima (dont l’activité chevauche celle de Lazarus Group, ZINC et Black Artemis) comme l’équipe de piratage nord-coréenne derrière la brèche sur la base de preuves trouvées lors de l’enquête sur l’attaque en collaboration avec JumpCloud.
« L’un de leurs principaux objectifs a été de générer des revenus pour le régime. Je ne pense pas que ce soit la dernière attaque contre la chaîne d’approvisionnement nord-coréenne cette année », a déclaré à Reuters le vice-président de CrowdStrike pour le renseignement, Adam Meyers.
Mandiant a également épinglé l’attaque sur un acteur nord-coréen anonyme connu pour cibler les organisations de crypto-monnaie.
« Mandiant évalue avec une grande confiance qu’il s’agit d’un élément axé sur la crypto-monnaie au sein du Bureau général de reconnaissance (RGB) de la RPDC, ciblant les entreprises opérant dans les secteurs verticaux de la crypto-monnaie pour obtenir des informations d’identification et des données de reconnaissance », a déclaré Austin Larsen, consultant principal en réponse aux incidents, à Breachtrace.
« Il s’agit d’un acteur menaçant à motivation financière que nous avons vu de plus en plus cibler l’industrie de la crypto-monnaie et diverses plates-formes de blockchain. »
Larsen a également déclaré que les attaquants avaient déjà touché une victime en aval après avoir violé JumpCloud, Mandiant prévoyant qu’il y a d’autres victimes actuellement aux prises avec les retombées de l’attaque.
Ce groupe de piratage est actif depuis plus d’une décennie, depuis au moins 2009, et est connu pour ses attaques contre des cibles de premier plan dans le monde entier, notamment des banques, des agences gouvernementales et des médias.
Le FBI a lié les attaquants du groupe Lazarus à la violation du pont réseau Ronin d’Axie Infinity, le plus grand piratage de crypto-monnaie jamais réalisé, qui leur a permis de voler un record de 620 millions de dollars à Ethereum.
En avril, Mandiant a déclaré qu’un autre groupe de menaces nord-coréen suivi sous le nom d’UNC4736 était à l’origine de l’attaque en cascade de la chaîne d’approvisionnement qui a frappé la société VoIP 3CX en mars. UNC4736 est lié au groupe Lazarus à l’origine de l’opération AppleJeus, qui a été connecté par Google TAG à la compromission du site Web de Trading Technologies, le développeur 3CX.
JumpCloud confirme le piratage par le groupe APT
Le 27 juin, JumpCloud a découvert un incident où « un acteur sophistiqué de la menace parrainé par un État-nation » a violé ses systèmes par le biais d’une attaque de harponnage. Bien qu’il n’y ait eu aucune preuve immédiate d’impact sur les clients, JumpCloud a effectué une rotation proactive des informations d’identification et reconstruit l’infrastructure compromise par mesure de précaution.
Au cours de l’enquête, le 5 juillet, JumpCloud a détecté « une activité inhabituelle dans le cadre des commandes pour un petit groupe de clients ». En collaboration avec les partenaires de réponse aux incidents et les forces de l’ordre, il a également analysé les journaux à la recherche de signes d’activité malveillante et forcé la rotation de toutes les clés d’API d’administration.
Dans un avis publié le 12 juillet, JumpCloud a partagé les détails de l’incident et publié des indicateurs de compromission (IOC) pour aider les partenaires à sécuriser leurs réseaux contre les attaques du même groupe.
Pour l’instant, JumpCloud n’a pas divulgué le nombre de clients touchés par l’attaque et n’a pas attribué le groupe APT à l’origine de la violation à un état spécifique.
En janvier, la société a également révélé qu’elle enquêtait sur l’impact d’un incident de sécurité CircleCI sur ses clients.
Basée à Louisville, dans le Colorado, JumpCloud exploite une plate-forme d’annuaire en tant que service fournissant des services d’authentification unique et multifacteur à plus de 180 000 organisations dans plus de 160 pays.