Atac cibernetic major: biblioteca JavaScript Axios compromisã, mii de companii americane expuse riscului de furt de criptomonede
O breşă în biblioteca JavaScript Axios a permis distribuirea de actualizări compromise; experţii avertizează asupra unui posibil val de furturi de criptomonede atribuite hackerilor nord-coreeni.
Sursa foto: Digi24
Un atac cibernetic amplu a compromis o componentă software folosită de mii de companii din Statele Unite, iar experţii avertizează că incidentul ar putea declanşa o campanie coordonată de furt de criptomonede cu efecte la scară globală. Cercetările şi investigaţiile iniţiale indică faptul că atacatorii, despre care se crede că sunt aflaţi în legătură cu regimul de la Phenian, au introdus cod maliţios în actualizările unei biblioteci open-source orientate către limbajul JavaScript, cunoscută sub numele Axios.
Cum s-a petrecut compromiterea
Potrivit relatărilor, atacatorii au obţinut control temporar asupra contului unui dezvoltator care administrează Axios şi, în intervalul de aproximativ trei ore în dimineaţa zilei de marţi, au distribuit actualizări contaminate către orice organizaţie care a descărcat pachetul în acel interval. Biblioteca Axios este folosită pe scară largă pentru efectuarea de cereri HTTP în aplicaţii web şi, deşi îi împarte numele, nu are nicio legătură cu redacţia Axios Media.
Accesul neautorizat asupra contului dezvoltatorului a permis inserarea unor coduri „de ascultare” în pachetul software, astfel încât orice instalaţie afectată ar putea transmite informaţii sensibile sau ar putea facilita accesul neautorizat ulterior în mediile în care este folosită biblioteca. Reacţia a fost imediată: dezvoltatorul a pornit o cursă contra cronometru pentru a recâştiga controlul asupra contului, în timp ce responsabilii de securitate cibernetică din numeroase companii au evaluat rapid potenţialul impact al actualizărilor compromise.
Raza de acoperire şi sectoarele afectate
Axios este integrată în numeroase aplicaţii şi servicii across aproape toate sectoarele economiei americane, ceea ce a amplificat îngrijorarea experţilor. Companii din domeniul sănătăţii, instituţii financiare şi firme din industria tehnologică care lucrează cu criptomonede se numără printre cele care au infrastructura posibil compromisă de această infiltrare în lanţul de aprovizionare software.
Deşi investigaţiile preliminare raportează un număr concret de dispozitive compromise doar într-o mică parte a cazurilor detectate, specialiştii se aşteaptă ca lista victimelor să crească pe măsură ce organizaţiile verifică propriile lanţuri de distribuţie şi îşi descoperă sistemele afectate.
Detectări iniţiale şi extinderea impactului
O firmă de securitate, Huntress, a anunţat că a identificat aproximativ 135 de dispozitive compromise care aparţin unor circa 12 companii, însă reprezentanţii companiei au subliniat că aceasta reprezintă doar o mică parte din total. Specialiştii avertizează că, pe măsură ce investigaţiile avansează şi mai multe organizaţii îşi verifică jurnalul de actualizări şi integritatea sistemelor, numărul victimelor raportate va creşte.
Cui i se atribuie atacul şi motivele posibile
Firma de informaţii cibernetice Mandiant, parte a grupului Google, a atribuit acest atac unui grup de hackeri suspectaţi a fi nord-coreeni. Reprezentanţii Mandiant consideră că atacatorii au scopul de a valorifica datele de autentificare şi accesul obţinut pentru a viza companii şi a sustrage criptomonede, finanţând astfel activităţile regimului nord-coreean.
Charles Carmakal, director tehnic la Mandiant, a explicat că societatea anticipează încercări de a exploata accesul dobândit pentru a fura criptomonede de la întreprinderi şi a estimat că evaluarea completă a impactului campaniei ar putea dura luni de zile. Această proiecţie reflectă complexitatea verificării lanţurilor de aprovizionare software şi necesitatea analizării fiecărei instalări care a primit actualizări în intervalul compromis.
Context istoric: un tipar de atacuri asupra lanţului de aprovizionare
Incidentul face parte dintr-un tipar mai larg: atacuri asupra lanţului de aprovizionare cu software care permit actorilor maliţioşi să distribuie cod compromis spre un număr mare de victime printr-un singur punct de control. Acest vector a fost folosit anterior în atacuri atribuite aceluiaşi stat sau grupări afiliate, inclusiv un incident de acum aproximativ trei ani, când agenţi nord-coreeni ar fi pătruns în infrastructura unui alt furnizor popular de software folosit pentru apeluri vocale şi video de către companii din sănătate şi lanţuri hoteliere.
Astfel de atacuri asupra lanţurilor de aprovizionare sunt deosebit de periculoase pentru că pot traversa rapid graniţe de securitate şi izolează mijloacele obişnuite de protecţie care se concentrează pe securitatea aplicaţiilor individuale.
Finanţarea regimului de la Phenian prin jafuri digitale
Corpul de hackeri al Coreei de Nord este recunoscut ca o sursă semnificativă de venituri pentru statul nord-coreean, care se află sub sancţiuni internaţionale. În ultimii ani, rapoarte ale Naţiunilor Unite şi ale firmelor private au indicat că autorii atacurilor cibernetice din Coreea de Nord au sustras miliarde de dolari de la bănci şi companii din sectorul criptomonedelor.
Un oficial al Casei Albe a declarat în 2023 că aproximativ jumătate din programul de rachete al Coreei de Nord a fost finanţat prin astfel de jafuri digitale. Mai mult, anul trecut atacatori nord-coreeni ar fi reuşit să fure 1,5 miliarde de dolari în criptomonede într-un singur incident, care a fost la momentul respectiv cel mai mare furt de criptomonede înregistrat.
Implicarea economică şi riscurile pe termen lung
Aceste sume uriaşe, obţinute prin atacuri cibernetice, susţin programele militare ale regimului şi subliniază motivaţia financiară din spatele campaniilor de tip „supply chain”. Folosirea unei biblioteci open-source cu distribuţie largă pentru a infiltra cod maliţios reprezintă o modalitate eficientă pentru atacatori de a atinge un număr mare de ţinte cu resurse minime.
Experţii avertizează că o campanie pe termen lung de furt de criptomonede ar putea începe rapid, exploatând credenţialele şi accesul obţinut în urma compromiterii Axios. Acest lucru implică riscul că banii furaţi vor fi utilizaţi pentru a finanţa activităţi considerate de securitate naţională, inclusiv programe de armament.
Răspunsul industriei şi provocările investigaţiei
Reacţia imediată din partea comunităţii de dezvoltatori şi a echipelor de securitate cibernetică s-a concentrat pe identificarea tuturor sistemelor care au primit actualizări în timpul ferestrei compromise şi pe izolarea instalaţiilor afectate. Procedura standard implică verificarea semnăturilor pachetelor, restaurarea versiunilor anterioare şi rotirea cheilor şi a acreditărilor care ar fi putut fi compromise.
Totuşi, evaluarea completă a impactului este îngreunată de faptul că Axios este o bibliotecă open-source integrată în multe aplicaţii diferite, ceea ce înseamnă că administratorii de sistem trebuie să scaneze atât serverele centrale, cât şi mediile de dezvoltare şi producţie, pentru a detecta semne de activitate maliţioasă. Mandiant a subliniat că această evaluare poate dura luni de zile, pe măsură ce companiile îşi întăresc controalele şi investighează logurile operaţionale.
Semnale pentru companii şi paşi imediat recomandaţi
Specialiştii în securitate recomandă organizaţiilor să verifice înregistrările de actualizări pentru a identifica dacă au primit pachete Axios în intervalul menţionat, să analizeze activitatea de autentificare şi să procedeze la schimbarea acreditărilor afectate. De asemenea, este esenţială monitorizarea transferurilor de active digitale şi a portofelelor de criptomonede asociate, mai ales pentru companiile din domeniul fintech şi pentru firmele care gestionează astfel de active.
Perspective şi următorii paşi ai anchetei
Anchetatorii continuă să monitorizeze evoluţia situaţiei şi colaborează cu firme specializate în securitate cibernetică pentru a stabili amploarea atacului şi traiectoria eventualelor pierderi financiare. Investigaţia vizează nu doar remedierea imediată a vulnerabilităţii, ci şi urmărirea eventualelor operaţiuni de extragere a criptomonedelor rezultate din accesul obţinut.
Având în vedere istoricul atacurilor atribuite grupărilor nord-coreene şi capacitatea acestora de a genera venituri considerabile prin operaţiuni digitale, specialiştii rămân precauţi şi recomandă adoptarea unor măsuri de securitate consolidate pentru a reduce riscul unor incidente similare în viitor.
Editor: M.I. (Maria Isopescu)
