لا يزال ما سعى المتسللون الكوريون الشماليون إلى تحقيقه من خلال هجماتهم على سلسلة التوريد المترابطة غير واضح تمامًا ، ولكن يبدو أن الدافع وراء ذلك هو السرقة البسيطة. قبل أسبوعين ، كشفت شركة الأمن السيبراني Kaspersky أن حفنة على الأقل من الضحايا المستهدفين بتطبيق 3CX التالف كانوا شركات مرتبطة بالعملات المشفرة ومقرها “غرب آسيا” ، رغم أنها رفضت تسميتها. وجدت Kaspersky أنه ، كما هو الحال غالبًا مع هجمات سلسلة التوريد الضخمة للبرامج ، قام المتسللون بفحص ضحاياهم المحتملين وقدموا جزءًا صغيرًا من البرامج الضارة في المرحلة الثانية إلى جزء صغير فقط من تلك مئات الآلاف من الشبكات المخترقة ، مستهدفينهم باستخدام “الدقة الجراحية”.
يوافق مانديانت على أن هدفًا واحدًا على الأقل من المتسللين المرتبطين بكوريا الشمالية هو بلا شك سرقة العملة المشفرة: يشير إلى النتائج السابقة لمجموعة تحليل التهديدات في Google بأن AppleJeus ، وهو جزء من البرامج الضارة المرتبطة بالمخترقين أنفسهم ، قد تم استخدامه لاستهداف خدمات العملات المشفرة عبر ثغرة أمنية في متصفح جوجل كروم. وجد Mandiant أيضًا أنه تم إدخال نفس الباب الخلفي في برنامج 3CX في تطبيق آخر للعملات المشفرة ، CoinGoTrade ، وأنه شارك البنية التحتية مع تطبيق تداول خلفي آخر ، JMT Trading.
كل ذلك ، جنبًا إلى جنب مع استهداف المجموعة لتقنيات التداول ، يشير إلى التركيز على سرقة العملة المشفرة ، كما يقول بن ريد ، رئيس استخبارات التهديدات المتعلقة بالتجسس الإلكتروني في مانديانت. يقول ريد إن هجومًا واسعًا على سلسلة التوريد مثل الهجوم الذي استغل برنامج 3CX من شأنه أن “يوصلك إلى الأماكن التي يتعامل فيها الأشخاص مع الأموال”. “هذه مجموعة تركز بشدة على تحقيق الدخل.”
لكن كارماكال من Mandiant يلاحظ أنه بالنظر إلى حجم هجمات سلسلة التوريد هذه ، فإن الضحايا الذين يركزون على العملات المشفرة ربما لا يزالون مجرد قمة جبل الجليد. يقول: “أعتقد أننا سنتعرف على المزيد من الضحايا بمرور الوقت من حيث صلتها بواحد من هذين الهجومين على سلسلة توريد البرامج”.
بينما يصف Mandiant تقنيات التداول وتسويات 3CX كأول مثال معروف لهجوم سلسلة التوريد يؤدي إلى هجوم آخر ، فقد تكهن الباحثون لسنوات حول ما إذا كانت مثل هذه الحوادث الأخرى مترابطة بشكل مشابه. قامت المجموعة الصينية المعروفة باسم Winnti أو Brass Typhoon ، على سبيل المثال ، بتنفيذ ما لا يقل عن ستة هجمات لسلسلة توريد البرامج من عام 2016 إلى عام 2019. وفي بعض هذه الحالات ، لم يتم اكتشاف طريقة الاختراق الأولي للقراصنة – و ربما كان من هجوم سابق لسلسلة التوريد.
يلاحظ كارماكال من Mandiant أن هناك علامات أيضًا على أن المتسللين الروس المسؤولين عن هجوم سلسلة التوريد الشهير SolarWinds كانوا يقومون أيضًا باستطلاع خوادم تطوير البرمجيات داخل بعض ضحاياهم ، وربما كانوا يخططون لهجوم تابع لسلسلة التوريد عندما كانوا كذلك. تعطلت.
بعد كل شيء ، عادةً ما تتمكن مجموعة قراصنة قادرة على تنفيذ هجوم على سلسلة التوريد من إلقاء شبكة واسعة تجذب جميع أنواع الضحايا – وبعضهم غالبًا ما يكون من مطوري البرامج الذين يقدمون بأنفسهم وجهة نظر قوية يمكن من خلالها تنفيذ متابعة – في هجوم على سلسلة التوريد ، طرد الشبكة مرة أخرى. إذا كانت شركة 3CX ، في الواقع ، هي أول شركة تعرضت لهذا النوع من تفاعل سلسلة التوريد ، فمن غير المرجح أن تكون الأخيرة.
