Uma unidade de invasão da Coreia do Norte do Escritório Geral de Reconhecimento (RGB) foi associada à invasão ao JumpCloud depois que os atacantes cometeram um erro de segurança operacional (OPSEC), expondo inadvertidamente seus endereços IP da vida real.
O grupo de invasores, rastreado como UNC4899 pela Mandiant, foi previamente observado usando uma combinação de VPNs comerciais e Operational Relay Boxes (ORBs) usando túneis L2TP IPsec para esconder sua localização real.
A Mandiant diz que os agentes de ameaça da UNC4899 já usaram muitos provedores de VPN para esse propósito em campanhas anteriores, incluindo ExpressVPN, NordVPN, TorGuard, entre outros.
Enquanto é conhecido que os hackers do estado norte-coreano usam serviços de VPN comerciais para mascarar seus endereços IP e locais reais, durante o ataque ao JumpCloud, as VPNs que eles estavam usando falharam e expuseram seu local em Pyongyang ao se conectar à rede de uma vítima.
"A Mandiant observou o ator de ameaça da Coreia do Norte UNC4899 se conectando diretamente a um ORB controlado pelo atacante de seu subnet 175.45.178[.]0/24", disseram os pesquisadores.
"Além disso, observamos o ator de ameaça da Coreia do Norte se logar diretamente em um IP de Pyongyang, a partir de uma de suas caixas de salto.
Nossas evidências indicam que isto foi um deslize de OPSEC, pois a conexão com o bloco de rede norte-coreano foi de curta duração."
Além desse descuido de OPSEC, os pesquisadores de segurança da Mandiant também encontraram infraestrutura de ataque sobreposta a invasões anteriormente associadas ligadas a hackers norte-coreanos, fortalecendo ainda mais a atribuição da invasão a hackers norte-coreanos.
"Avaliamos com alta confiança que a UNC4899 é um grupo focado em criptomoedas que faz parte do RGB.
O direcionamento de UNC4899 é seletivo e eles foram observados ganhando acesso a redes de vítimas através do JumpCloud", acrescentou a Mandiant.
"Mandiant observou a UNC2970, APT43 e UNC4899 utilizando infraestrutura similar."
Na quinta-feira, a JumpCloud também confirmou que um grupo APT norte-coreano foi o responsável pela invasão de junho, com base na atribuição dos pesquisadores de segurança da SentinelOne e CrowdStrike naquele dia.
O Consultor Sênior de Resposta a Incidentes, Austin Larsen, contou ao BleepingComputer que os atacantes também atingiram uma vítima a jusante após sua invasão ao JumpCloud.
A Mandiant prevê que outras vítimas possam estar atualmente lidando com as repercussões deste ataque.
A JumpCloud forçou a rotação de todas as chaves de API de administração em 5 de julho, uma semana depois que o invasor violou sua rede através de um ataque de spear-phishing.
Enquanto a empresa agora atribuiu o ataque, ainda não divulgou o número de clientes afetados.
A JumpCloud, com sede no Colorado, é uma plataforma de serviço de diretório operacional que oferece serviços de autenticação única e multifatorial para uma vasta rede de mais de 180.000 organizações em mais de 160 países.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...