Gli hacker sostenuti dallo stato nordcoreano hanno violato JumpCloud, una società di software aziendale statunitense, con l’obiettivo di attaccare i suoi clienti di criptovalute. Questa notizia è stata rivelata da ricercatori di sicurezza giovedì.
Dettagli dell’Attacco
JumpCloud, una piattaforma di directory che consente alle imprese di autenticare, autorizzare e gestire utenti e dispositivi, ha rivelato questa settimana che un attore di stato era dietro una violazione dei suoi sistemi avvenuta a giugno, che ha costretto l’azienda a reimpostare le chiavi API dei clienti.
Sebbene JumpCloud non abbia attribuito gli hacker a una nazione particolare, i ricercatori delle società di cybersecurity Crowdstrike e SentinelOne hanno attribuito la violazione agli hacker sostenuti dalla Corea del Nord, noti come Lazarus, un gruppo noto per prendere di mira entità cripto come la Ronin Network e Harmony’s Horizon Bridge.
Lazarus e Labyrinth Chollima
CrowdStrike ha collegato l’attacco a JumpCloud a “Labyrinth Chollima”, un sottogruppo del noto gruppo di hacking Lazarus, che è stato anche collegato ai recenti attacchi alla catena di fornitura mirati al produttore di telefoni aziendali 3CX. Adam Meyers, vicepresidente senior per l’intelligence di CrowdStrike, ha rivelato che gli hacker, che la società di cybersecurity segue dal 2009 e descrive come uno dei “più prolifici avversari della DPRK”, hanno una storia di attacchi a individui legati al settore delle criptovalute. La Corea del Nord ha una lunga storia di utilizzo di operazioni di furto di cripto per finanziare il suo programma di armi nucleari sanzionato.
Conferma da SentinelOne
In modo separato, il ricercatore di SentinelOne, Tom Hegel, ha confermato che gli indicatori di compromissione (IOC) condivisi da JumpCloud sono “collegati a una vasta gamma di attività che attribuiamo alla DPRK”. Hegel ha dichiarato di essere “altamente fiducioso” nell’attribuire la violazione alla Corea del Nord e ha detto che gli hacker potrebbero essere stati anche dietro una recente campagna di ingegneria sociale mirata ai clienti di GitHub.
Risposta di JumpCloud
JumpCloud ha rifiutato di dire se le scoperte dei ricercatori erano coerenti con le proprie, ma ha detto che l’incidente ha interessato un “piccolo e specifico” insieme di clienti. Il software di JumpCloud è utilizzato da oltre 180.000 organizzazioni e l’azienda ha più di 5.000 clienti paganti.