(CNN)– Comentarios burladores Funcionarios norcoreanos se han infiltrado en una empresa de software con cientos de miles de clientes en todo el mundo, en un ataque cibernético que demuestra las capacidades avanzadas de Pyongyang en materia de ciberdelincuencia, dijeron el jueves investigadores privados.
La violación de la empresa de software 3CX, descubierta el mes pasado, ha dado a los norcoreanos acceso a una variedad de empresas internacionales, desde cadenas hoteleras hasta proveedores de atención médica, que utilizan el software de la empresa para realizar llamadas telefónicas.
No está claro el número de empresas afectadas por el hackeo y qué hicieron los ciberdelincuentes con el acceso a la red de las víctimas. Pero es la evidencia más reciente de que los ciberdelincuentes norcoreanos están haciendo todo lo posible para infiltrarse en organizaciones para robar o espiar para apoyar los intereses del dictador Kim Jong Un.
Según Charles Carmakal, CTO de Mandiant Consulting, la empresa que 3CX contrató para investigar el ataque, muestra «un alto nivel de poder cibernético ofensivo por parte de la fuerza laboral de Corea del Norte».
Una investigación reciente de CNN descubrió un esfuerzo concertado por parte de delincuentes norcoreanos para robar criptomonedas y usarlas para financiar los programas de armas del gobierno. Este tipo de actividad cibernética de Corea del Norte es parte de los productos de inteligencia regulares presentados a los principales funcionarios estadounidenses, incluido a veces el presidente Joe Biden, dijo a CNN un alto funcionario estadounidense.
En el caso de 3CX, Mandiant dijo que los atacantes ingresaron al entorno de producción de software de la empresa comprometiendo primero el software desarrollado por otra empresa, los productos comerciales de Trading Technologies. Según Mandiant, un empleado de 3CX descargó un software de la desaparecida Trading Technologies que los piratas informáticos manipularon.
«Esta es la primera vez que tenemos evidencia sólida de que un ataque a la cadena de suministro condujo a otro ataque a la cadena de suministro», dijo Carmakal a los periodistas el miércoles.
Sin embargo, el impacto del ataque no está claro. Cualquiera de los clientes de 3CX que descargaron el software pirateado habría sido vulnerable.
A pesar de ello, y según la empresa estadounidense de ciberseguridad CrowdStrike, es posible que los norcoreanos hayan elegido un número muy reducido de víctimas para realizar actividades de vigilancia en su red.
Georgy Kucherin, investigador de la firma rusa de ciberseguridad Kaspersky, le dijo a CNN que se sospecha que los ciberdelincuentes de Corea del Norte usaron el acceso a 3CX para atacar a las empresas de criptomonedas a fines del mes pasado.
Kucherin dijo que su firma vio a piratas informáticos intentar instalar código malicioso en «menos de 10 computadoras» pero bloqueó sus esfuerzos, «así que no robaron nada».
Nick Galea, CEO de 3CX, minimizó la escala del incidente el 30 de marzo y le dijo a CNN que «muy pocos» de sus clientes parecían estar «comprometidos» por piratas informáticos. Pero en un correo electrónico el jueves, Galea dijo que no sabía cuántos clientes terminaron descargando el software 3CX modificado, o cuántos clientes vieron actividad de piratería posterior.
3CX ha pedido a sus clientes que actualicen su software y verifiquen las vulnerabilidades.
Trading Technologies no ha podido confirmar los resultados de Mandiant porque la compañía se enteró del problema la semana pasada, dijo un portavoz de Trading Technologies a CNN el jueves.
«Lo que sí sabemos es que 3CX no vende ni compra Trading Technologies», dijo un vocero de Trading Technologies. «También queremos enfatizar que este incidente no está relacionado con la etapa actual del TT».
Funcionarios estadounidenses se unen a la investigación
La operación ha desconcertado a los funcionarios estadounidenses y ejecutivos del sector privado para determinar cuántas empresas estadounidenses pueden verse afectadas.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. “continúa trabajando con socios gubernamentales y del sector privado para comprender las implicaciones de esta campaña de intrusión”, dijo un portavoz de la agencia a CNN el jueves. «En muchos casos, el excelente trabajo de la comunidad de ciberseguridad ha evitado daños graves a muchas víctimas».
Los ataques generalizados a la cadena de suministro a menudo están vinculados a piratas informáticos con vínculos con China o Rusia, dijo Adam Meyers, vicepresidente de inteligencia de CrowdStrike.
“El hecho de que sea Corea del Norte… muestra que este es un actor con capacidades y ambiciones en la cadena de suministro, y podría tener ramificaciones para ellos”, dijo Meyers a CNN.