Firma americană de software pentru întreprinderi JumpCloud a confirmat că încălcarea datelor pe care a suferit-o recent a fost tratată de către infamul Lazarus Group.
Actorii sponsorizați de stat nord-coreeni au reușit să folosească încălcarea de succes pentru a viza mai mulți clienți JumpCloud, dar conform companiei, atacul a fost controlat înainte de a putea fi făcută vreo pagubă serioasă.
Firma de stocare în cloud raportase că a suferit un atac cibernetic din partea „un actor sofisticat de amenințări sponsorizat de statul național”. Atacatorul, a spus compania, s-a implicat în spear phishing, care i-a oferit acces la punctele sale finale. Chiar dacă JumpCloud nu a găsit imediat nicio dovadă de impact asupra clienților, a reîmprospătat acreditările importante și a reconstruit infrastructura compromisă.
Vizând clienții
O investigație ulterioară a descoperit că la începutul lunii iulie 2023, a existat „activitate neobișnuită în cadrul comenzilor pentru un set mic de clienți”. Soon ulterior, compania a lansat mai multe detalii despre incidentul din care cercetătorii de securitate cibernetică Mandiant i-au identificat pe atacatori ca fiind Lazăr. În același timp, cercetătorii de la SentinelOne și CrowdStrike au ajuns la aceeași concluzie.
„Putem raporta, de asemenea, că am identificat și CrowdStrike a confirmat că actorul statului național implicat este Coreea de Nord. Important este că mai puțin de 5 clienți JumpCloud au fost afectați și mai puțin de 10 dispozitive în total au fost afectate, din peste 200,000 de organizații care se bazează pe platforma JumpCloud pentru o varietate de funcții de identitate, acces, securitate și management. Toți clienții afectați au fost notificați direct”, a declarat Bob Phan, CISO JumpCloud, într-un anunț.
Lazarus Group este un cunoscut actor de amenințări care lucrează pentru guvernul nord-coreean. Grupul urmărește de obicei companiile care se ocupă de criptomonede.
„Mandiant evaluează cu mare încredere că acesta este un element concentrat pe criptomonede în cadrul Biroului General de Recunoaștere (RGB) al RPDC, vizând companiile cu segmente de criptomonede pentru a obține acreditări și date de recunoaștere”, a declarat pentru BleepingComputer, consultantul senior pentru răspuns la incidente Austin Larsen.
„Acesta este un actor de amenințare motivat financiar pe care l-am văzut că vizează din ce în ce mai mult industria criptomonedei și diverse platforme blockchain.”
S BleepingComputer