De aanvallers achter de aanval op it-dienstverlener JumpCloud hebben door een fout met de gebruikte vpn-dienst hun eigen ip-adressen onthuld, zo stelt securitybedrijf Mandiant. JumpCloud biedt een platform waarmee organisaties hun gebruikers, hun apparaten en toegang tot it-middelen kunnen beheren. Meer dan 180.000 organisaties zouden de software van het bedrijf gebruiken.

Eerder deze maand werd bekend dat aanvallers via een spearphishing-aanval toegang tot systemen van JumpCloud hadden gekregen, om daarvandaan systemen van klanten te compromitteren. Volgens JumpCloud hebben de aanvallers bij minder dan vijf bedrijven toegeslagen. Eén van deze getroffen ondernemingen is een niet nader genoemd Amerikaans softwarebedrijf dat Mandiant inschakelde.

De aanvallers gebruikten JumpCloud om het softwarebedrijf met malware te infecteren. Daarbij hadden de aanvallers het onder andere voorzien op macOS keychains en data over directeuren en interne securityteams. Volgens Mandiant is de aanval het werk van een Noord-Koreaanse groep. De aanvallers maken gebruik van Operational Relay Boxes (ORBs) in combinatie met commerciële vpn-diensten om hun eigen ip-adres te verbergen. Daarbij is de vpn-dienst de laatste hop naar het slachtoffer.

Volgens Mandiant maakten de aanvallers niet altijd gebruik van de vpn-oplossing of stopte die met werken, waardoor het ip-adres van de ORB zichtbaar werd. Het ging om een Noord-Koreaans ip-adres. Ook zagen de onderzoekers dat de aanvallers vanaf een Noord-Koreaans ip-adres op een box inlogden. "Ons bewijs ondersteunt dat dit een operationele securityfout was, aangezien de verbinding naar het Noord-Koreaanse netblock van korte duur was."

De groep zou het vooral op cryptovaluta en cryptobedrijven hebben voorzien. Het is niet de eerste supplychain-aanval waarvoor Noord-Korea verantwoordelijk wordt gehouden. Het land zou ook achter de aanvallen op de X_TRADER-applicatie en de 3CX-desktopapplicatie zitten.