Der Lieferkettenangriff auf die Sprachanruf-App von 3CX wurde auf einen Mitarbeiter des Unternehmens zurückgeführt, der ein legitimes, aber mit Malware beladenes Programm auf seinem PC installierte.
Der Ergebnisse(Öffnet in einem neuen Fenster) stammen vom Cybersicherheitsanbieter Mandiant, den 3CX beauftragt hat, die Untersuchung durchzuführen, wie die Desktop-Apps des Unternehmens letzten Monat manipuliert wurden, um sowohl Windows- als auch Mac-Benutzern bösartigen Code bereitzustellen.
Mandiant deckte Beweise dafür auf, dass der Verstoß bei einem anderen Unternehmen namens Trading Technologies, dem Entwickler der Futures-Trading-App X_Trader, begann. Im vergangenen Jahr wurden nordkoreanische Hacker verdächtigt gesichtet(Öffnet in einem neuen Fenster) Kompromittierung der Website des Unternehmens.
Dieselben Hacker manipulierten die X_Trader-App und stellten sie potenziellen Opfern auf einer Unternehmenswebsite zur Verfügung. Als Beweis nennt Mandiant die Malware-beladen X_Die Trader-App wurde mit gültigen Code-Signing-Zertifikaten im Namen von „Trading Technologies International, Inc.“ signiert. die im Oktober 2022 auslaufen sollten.
Letztes Jahr installierte ein 3CX-Mitarbeiter X_Trader auf seinem eigenen PC, was den Hackern vor Monaten einen Weg ebnete, in 3CX einzudringen. „Mandiant geht davon aus, dass der Angreifer die 3CX-Unternehmenszugangsdaten des Mitarbeiters aus seinem System gestohlen hat“, so 3CX in seiner eigenen Stellungnahme Bericht(Öffnet in einem neuen Fenster).
(Quelle: Mandiant)
„Der früheste Beweis für eine Kompromittierung innerhalb der 3CX-Unternehmensumgebung erfolgte über das VPN mit den Unternehmensanmeldeinformationen des Mitarbeiters zwei Tage, nachdem der PC des Mitarbeiters kompromittiert wurde“, fügte das Unternehmen hinzu. Sobald sie sich im Netzwerk von 3CX befanden, stahlen die Hacker weitere Anmeldeinformationen, um Zugriff auf die internen Softwareentwicklungssysteme für die Windows- und Mac-Version der 3CX-Desktop-App zu erhalten.
Wie andere Cybersicherheitsfirmen vermutet auch Mandiant, dass die Hacker hinter dem Angriff mit Nordkorea in Verbindung stehen. In den letzten Jahren sind die Hacker des Landes berüchtigt dafür geworden, dass sie Benutzer und Unternehmen ins Visier nehmen, um Kryptowährung zu stehlen und in Banken einzubrechen.
Mandiant fügt hinzu, der Vorfall zeige, wie die Kompromittierung eines einzelnen Softwareanbieters zu einer größeren Bedrohung werden kann. „Kaskadierende Kompromittierungen in der Softwarelieferkette zeigen, dass nordkoreanische Betreiber den Netzwerkzugriff auf kreative Weise ausnutzen können, um Malware zu entwickeln und zu verbreiten“, fügte der Anbieter von Cybersicherheit hinzu.
Es bleibt unklar, wie viele Benutzer die Hacker letztendlich durch die 3CX-Angriffe infiziert haben. Der Antivirus-Anbieter Kaspersky entdeckte jedoch Beweise dafür, dass die mutmaßlichen Nordkoreaner nur eine Hintertür „auf weniger als zehn infizierten Computern“ installierten, auf denen 3CX installiert war. Wie viele Benutzer die mit Malware beladene X_Trader-App installiert haben, ist ebenfalls unbekannt, aber Benutzer, die dies getan haben, sollten die Software sofort deinstallieren .
Von unseren Redakteuren empfohlen
Trotz der Untersuchung weist Trading Technologies darauf hin, dass es nicht unbedingt schuld war. Das Unternehmen hat die X_Trader-Software tatsächlich im Jahr 2020 außer Betrieb genommen, obwohl Mandiant behauptet, dass sie noch bis letztes Jahr auf der Website des Unternehmens verfügbar war.
„Unsere Kunden haben während der 18-monatigen Ablaufphase mehrere Mitteilungen erhalten, in denen sie darüber informiert wurden, dass wir XTRADER über April 2020 hinaus nicht mehr unterstützen oder warten würden“, sagte Trading Technologies. „Es gab für niemanden einen Grund, die Software herunterzuladen, da TT das Hosten, Unterstützen und Warten von XTRADER nach Anfang 2020 eingestellt hat. Wir möchten auch betonen, dass dieser Vorfall völlig unabhängig von der aktuellen TT-Plattform ist.“
Trading Technologies fügt hinzu, dass es erst letzte Woche auf die Ergebnisse aufmerksam wurde. „Wir haben keine Ahnung, warum ein Mitarbeiter von 3CX X_TRADER heruntergeladen haben sollte“, fügte er hinzu.
In der Zwischenzeit konzentriert sich 3CX weiterhin darauf, die Sicherheit des Unternehmens nach dem Angriff auf die Lieferkette zu erhöhen. Das Unternehmen hat neue Desktop-3CX-Apps erstellt, die „vollständig überprüft und bereinigt wurden und als sicher gelten können“. es sagte.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.