Подробности за атаката към 3CX
Атаките към веригите за доставки са едни от най-коварните и унищожителни закани през днешния ден. Компрометирането на линиите за разработка или продуктовите сървърни масиви може да донесе големи облаги за атакуващата страна, разпространявайки злотворен код към системите на нищо неподозиращите консуматори на даден програмен продукт. В края на март беше открита следващата сходна офанзива – към доставчика на решения за бизнес връзка и програмен продукт 3CX. Жертвите ѝ към момента са незнаен брой, само че следствието на случая е в ход и излизат все по-плашещи детайлности.
Неизвестно по кое време (предполага се, че не по-късно от февруари тази година) известна APT (advanced persistent threat) група съумява да компрометира „ билд “ линията, употребена за снабдяване на актуализации за Windows и Мас версиите на 3CX. Макар и през март да получават отчет за нещо подозрително, от компанията подценяват заплахата. Доста смущаващо звучи обяснението за това, изключително, че идва от изпълнителния шеф на 3CX, че те пренебрегнали упоменатия отчет, защото нито едно антививирусно решение от Virus Total не отчитало съществуването на опасност в софтуера. Впоследствие обаче компанията се свързва с Mandiant, водещ американски снабдител на решения за компютърна сигурност и следствие на киберинциденти. В края на март в следствието на случая се включват и други компании от бранша, като CrowdStrike, Symantec и английската Sophos. Междувременно се открива, че зловредни версии на софтуера са свалени от бизнеси и организации в набор от страни, измежду които Австралия, Съединени американски щати, Австрия, Швейцария, Канада, Англия, Германия и Нидерландия. Анализът на самата офанзива показал и съответен провинен – севернокорейската APT група, работеща за военното министерство на страната Lazarus. Това, което след това откриват от компанията обаче е още по-неочаквано. Оказва се, че 3CX са станали жертва на офанзива към веригата си за доставка след сполучлива офанзива към веригата за доставка на друга компания – Trading Technologies и софтуерът им X-Trader. Макар и към този момент пенсионирана, софтуерната платформа към момента е налична за събаряне от уеб страницата на компанията. Самият той е бил злепоставен през февруари предходната година, с цел да могат хакерите да разгласяват троянизирана версия на X-Trader с дигитален документ, който е трябвало да изтече в края на 2022. Някъде сред тези две точки евентуално, чиновник на 3CX смъква на персоналния си компютър троянизраната версия на X-Trader и я конфигурира. Заедно с нея обаче, той конфигурира също по този начин зловредна стратегия на APT групата с името VEILEDSIGNAL, която краде данните, с които въпросният чиновник се вписва в мрежата и профила си на 3CX. Това и обезпечава достъп на Lazarus до вътрешната мрежа и продуктовата инфраструктура на компанията.
„ Това е първият път, в който Mandiant виждат офанзива към софтуерна верига за доставка, която води до друга офанзива към софтуерна верига за доставка “, означават Mandiant в отчет, оповестен преди дни. Последно, компанията предава за разпознати и две от жертвите на офанзивата към 3CX. Става дума за две компании – едната в Европа, другата в Съединени американски щати, които оперират в енергийния бранш и дават отговор за сериозната инфраструктура. Имената им не са посочени. Очаквайте детайлности по хода на следствието.
