Une unité de piratage du Bureau général de reconnaissance (RGB) de Corée du Nord a été liée à la violation de JumpCloud après que les attaquants ont commis une erreur de sécurité opérationnelle (OPSEC), exposant par inadvertance leurs adresses IP réelles.
Le groupe de piratage, suivi sous le numéro UNC4899 par Mandiant, a déjà été observé en utilisant une combinaison de VPN commerciaux et de boîtiers de relais opérationnels (ORB) utilisant des tunnels IPsec L2TP pour masquer leur emplacement réel.
Mandiant affirme que les acteurs de la menace UNC4899 ont utilisé de nombreux fournisseurs de VPN à cette fin lors de campagnes précédentes, notamment ExpressVPN, NordVPN, TorGuard et autres.
Alors que les pirates informatiques nord-coréens sont connus pour utiliser des services VPN commerciaux pour masquer leurs adresses IP et leurs emplacements réels, lors de l’attaque JumpCloud, les VPN qu’ils utilisaient ont échoué et ont révélé leur emplacement à Pyongyang lors de la connexion au réseau d’une victime.
« Mandiant a observé l’acteur menaçant de la RPDC UNC4899 se connectant directement à un ORB contrôlé par l’attaquant à partir de son sous-réseau 175.45.178[.]0/24 », ont déclaré les chercheurs.
« De plus, nous avons observé que l’acteur menaçant de la RPDC se connectait directement à une adresse IP de Pyongyang, à partir de l’une de leurs boîtes de jonction. Nos preuves confirment qu’il s’agissait d’une erreur de l’OPSEC, car la connexion au netblock nord-coréen a été de courte durée. »
Outre cette surveillance de l’OPSEC, les chercheurs en sécurité de Mandiant ont également découvert que l’infrastructure d’attaque se chevauchait avec des piratages précédemment associés liés à des pirates nord-coréens, renforçant encore l’attribution de la violation aux pirates nord-coréens.
« Nous évaluons avec une grande confiance que l’UNC4899 est un groupe axé sur la crypto-monnaie qui relève du RVB. Le ciblage de l’UNC4899 est sélectif, et il a été observé qu’ils accèdent aux réseaux des victimes via JumpCloud », a ajouté Mandiant.
« Mandiant a observé que UNC2970, APT43 et UNC4899 utilisent tous une infrastructure similaire. »
Une unité de piratage du Bureau général de reconnaissance (RGB) de Corée du Nord a été liée à la violation de JumpCloud après que les attaquants ont commis une erreur de sécurité opérationnelle (OPSEC), exposant par inadvertance leurs adresses IP réelles.
Le groupe de piratage, suivi sous le numéro UNC4899 par Mandiant, a déjà été observé en utilisant une combinaison de VPN commerciaux et de boîtiers de relais opérationnels (ORB) utilisant des tunnels IPsec L2TP pour masquer leur emplacement réel.
Mandiant affirme que les acteurs de la menace UNC4899 ont utilisé de nombreux fournisseurs de VPN à cette fin lors de campagnes précédentes, notamment ExpressVPN, NordVPN, TorGuard et autres.
Alors que les pirates informatiques nord-coréens sont connus pour utiliser des services VPN commerciaux pour masquer leurs adresses IP et leurs emplacements réels, lors de l’attaque JumpCloud, les VPN qu’ils utilisaient ont échoué et ont révélé leur emplacement à Pyongyang lors de la connexion au réseau d’une victime.
« Mandiant a observé l’acteur menaçant de la RPDC UNC4899 se connectant directement à un ORB contrôlé par l’attaquant à partir de son sous-réseau 175.45.178[.]0/24 », ont déclaré les chercheurs.
« De plus, nous avons observé que l’acteur menaçant de la RPDC se connectait directement à une adresse IP de Pyongyang, à partir de l’une de leurs boîtes de jonction. Nos preuves confirment qu’il s’agissait d’une erreur de l’OPSEC, car la connexion au netblock nord-coréen a été de courte durée. »
Outre cette surveillance de l’OPSEC, les chercheurs en sécurité de Mandiant ont également découvert que l’infrastructure d’attaque se chevauchait avec des piratages précédemment associés liés à des pirates nord-coréens, renforçant encore l’attribution de la violation aux pirates nord-coréens.
« Nous évaluons avec une grande confiance que l’UNC4899 est un groupe axé sur la crypto-monnaie qui relève du RVB. Le ciblage de l’UNC4899 est sélectif, et il a été observé qu’ils accèdent aux réseaux des victimes via JumpCloud », a ajouté Mandiant.
« Mandiant a observé que UNC2970, APT43 et UNC4899 utilisent tous une infrastructure similaire. »