Mandiant prowadzi śledztwo w sprawie włamania do 3CX, gdyż dowody wskazują, że atakujący mieli dostęp do systemów firmy przez wiele miesięcy.
Kilka firm zajmujących się cyberbezpieczeństwem opublikowało posty na blogach, ostrzeżenia i narzędzia, aby pomóc organizacjom, które mogły ucierpieć w wyniku ataku na łańcuch dostaw 3CX.
Czym jest właściwie atak na łańcuch dostaw ?
Atak na łańcuch dostaw odnosi się do rodzaju cyberataków, w których atakujący nie atakuje bezpośrednio celu, lecz wykorzystuje jego zaufane oprogramowanie lub usługi, aby włamać się do systemu celu lub przeprowadzić inne formy ataku. Celem ataków na łańcuch dostaw jest zazwyczaj uzyskanie dostępu do wrażliwych informacji lub naruszenie bezpieczeństwa systemów.
Firma zajmująca się cyberbezpieczeństwem Mandiant, należąca do Google, została poproszona o przeprowadzenie dochodzenia w sprawie ataku na łańcuch dostaw, który dotknął dostawcę rozwiązań komunikacyjnych dla firm – 3CX. Dowody wskazują, że atakujący mieli dostęp do systemów firmy przez kilka miesięcy przed wykryciem incydentu.
Setki tysięcy poszkodowanych i bagatelizacja problemu
Oprogramowanie 3CX VoIP IPBX jest używane przez ponad 600 000 firm na całym świecie, w tym przez wiele znanych marek. Incident został ujawniony 22 marca, kiedy to produkty wielu znaczących firm zajmujących się cyberbezpieczeństwem zaczęły oznaczać 3CXDesktopApp jako szkodliwe oprogramowanie. Dochodzenie ujawniło, że hakerzy, prawdopodobnie sponsorowani przez Koreę Północną, naruszyli wersje aplikacji Windows i Mac, doprowadzając wielu klientów 3CX do pobrania aplikacji zainfekowanej przez program trojański.
Kampania, która nosi nazwę “SmoothOperator”, mogła mieć wpływ na setki, a nawet setki tysięcy użytkowników. Zgodnie z wykrytym zagrożeniem i odpowiedzią firmy Huntress, ponad 240 000 systemów zarządzania telefonami jest narażonych na niebezpieczeństwo poprzez internet. Firma wykryła ponad 2700 instancji szkodliwych bibliotek 3CXDesktopApp.
Szkodliwe oprogramowanie dostarczone przez atakujących było zaprojektowane w celu pozyskania danych z zainfekowanych systemów, w tym z przeglądarek.
Jednak firma zajmująca się cyberbezpieczeństwem Todyl uważa, że “akcja była we wczesnej fazie zbierania informacji, gdy została wykryta, kiedy grupa przygotowywała się do kolejnych szkodliwych działań, w tym do wymuszenia okupu i wykorzystania skradzionych danych dostępowych z przeglądarek”.
Podczas gdy 3CX początkowo oświadczyła, że tylko aplikacje Windows zostały zainfekowane, to obecnie potwierdzono również infekcje systemów Mac. Firma zaleciła swoim klientom odinstalowanie aplikacji Elektron dla systemów Mac i Windows, a także korzystanie z wersji webowej aplikacji (PWA) do czasu wyjaśnienia problemu
Drążmy temat i szukajmy winnych
Firma początkowo sugerowała, że biblioteka multimedialna FFmpeg była bardziej narażona niż samo 3CX. Jednak FFmpeg zaprzeczyło tym oskarżeniom, a ReversingLabs zwróciło uwagę, że szkodliwe pliki FFmpeg były podpisane legitymującym się certyfikatem wydanym przez 3CX.
“Nasza analiza złośliwej aktualizacji wskazuje na naruszenie procesu rozwoju 3CX, co spowodowało dodanie złośliwego kodu podczas kompilacji albo na możliwość istnienia podejrzanej funkcji w ramach jednego z repozytoriów pakietów” – powiedział ReversingLabs.
Firma uważa, że pomimo tego, co twierdzą badacze, co mogło spowodować ten incydent, był on wywołany przez “naruszenie repozytorium, z którego pobierane były pliki binarne aplikacji Elektron podczas procesu budowania”.
Dowody zebrane do tej pory sugerują, że atakujący mieli dostęp do systemów 3CX od kilku miesięcy zanim atak został odkryty. W odpowiedzi na ten incydent, firma Volexity przeanalizowała infrastrukturę wykorzystaną w dokonaniu ataku i dowiedziała się, że hakerzy prawdopodobnie mieli dostęp do systemów 3CX od grudnia 2022, a możliwe, że nawet wcześniej, od listopada 2022.
Niezadowolenie użytkowników
Wielu użytkowników 3CX nie jest zadowolonych ze sposobu, w jaki firma poradziła sobie z incydentem. Początkowo twierdzono, że wykrycie złośliwego oprogramowania było fałszywie pozytywne. Niektórzy użytkownicy zarzucali, że zostali poproszeni przez załogę 3CX o zapłatę za zgłoszenie problemu, w celu
uzyskania pomocy. CEO firmy 3CX, Nick Galea, powiedział, że firma początkowo myślała, że to fałszywy
pozytywny wynik, ponieważ żaden z silników antywirusowych na VirusTotal nie wskazał pliku jako podejrzany lub złośliwy. Jednak niektórzy klienci uważają, że firma powinna była zrobić więcej, aby sprawdzić plik niż tylko przesłać go do VirusTotal.
Galea w wywiadzie dla CyberScoop powiedział, że powinni zareagować wcześniej, ale argumentował te wahania wiarygodności wyniku jako „dość powszechne” związane ze sposobem, w jaki działa sieć aplikacji VoIP, dlatego alert oprogramowania antymalware nie był początkowo brany zbyt poważnie.
Jednakże ReversingLabs zaznaczyło, że “Atak na 3CX, choć wyrafinowany, posiadał wyraźne wskaźniki, które mogły powiadomić 3CX o naruszeniu, zanim systemy klientów zostały zainfekowane.”
Kevin Beaumont, szanowany specjalista ds. bezpieczeństwa, skrytykował firmę za ogólny brak radzenia sobie z kwestiami bezpieczeństwa. Ekspert zauważył, że w zeszłym roku usunął kilka tweetów opisujących potencjalnie poważne luki w systemie 3CX, zwłaszcza że firma “nie przyjęła za nie pełnej odpowiedzialności, nie naprawiła ich i zaczęła spierać się na Twitterze.”
