Hacker hinter dem 3CX-Hijacking-Angriff haben vor Wochen damit begonnen, die App zu infizieren

Der beunruhigende Supply-Chain-Angriff auf den VoIP-Anbieter 3CX wurde am Mittwoch bekannt, aber es sieht so aus, als ob die Hacker hinter dem Angriff seit Wochen versuchen, 3CX-Benutzer zu infizieren.

Die Ergebnisse stammen vom Cybersicherheitsanbieter SentinelOne, der Antivirenschutz für Computer auf Unternehmensniveau anbietet. Die Daten des Unternehmens jetzt zeigt an(Öffnet in einem neuen Fenster) Die Hacker hinter dem Angriff begannen bereits am 8. März damit, Benutzer der 3CX Mac-Desktop-App zu infizieren.

Das bedeutet, dass die Hacker möglicherweise 21 Tage Zeit hatten, um den Benutzern heimlich Malware bereitzustellen, bevor 3CX bemerkte, dass seine Software verletzt worden war. Rund 600.000 Unternehmen, einschließlich(Öffnet in einem neuen Fenster) Große Marken wie Coca-Cola, Holiday Inn und BMW verwenden 3CX-Software.

Der Angriff auf die Lieferkette beinhaltete, dass die Hacker die 3CX-Desktop-App für Windows und Mac entführten und sie dazu veranlassten, Malware auf ausgewählte Computer herunterzuladen. Mehrere Antivirus-Unternehmen entdeckten dann am Mittwoch eine Welle bösartiger Aktivitäten über die 3CX-Desktop-App, was deutlich machte, dass die Bedrohung weit verbreitet war.

Wie sich jedoch herausstellte, hatte die Software von SentinelOne eine Woche zuvor damit begonnen, die 3CX-App als bösartig zu kennzeichnen. nach(Öffnet in einem neuen Fenster) zu den 3CX-eigenen Forenbeiträgen. In einem am 22. März gestarteten Thread berichteten einige Benutzer, dass das Antivirensystem von SentinelOne die 3CX-Desktop-App als Bedrohung kennzeichnet. Aber zu diesem Zeitpunkt war unklar, ob es sich bei dem Nachweis um einen Fehlalarm oder ein echtes Risiko handelte.

(Quelle: 3CX-Forum)

Auf Twitter sagte JA Guerrero-Saade, ein Direktor bei SentinelOne, notiert(Öffnet in einem neuen Fenster) Das Unternehmen habe „bis zum 22. März Tausende von Infektionsversuchen blockiert“. Das veranlasste natürlich einige, einschließlich des CEO von 3CX, sich zu fragen, warum SentinelOne die Öffentlichkeit nicht früher auf die Bedrohung aufmerksam gemacht hatte.

„Überraschend, dass Sie uns diese Angelegenheit nicht vorher gemeldet haben, es wäre das Richtige gewesen“, sagte 3CX-CEO Nick Galea getwittert(Öffnet in einem neuen Fenster) gestern. „Für mich zeigt das, dass Sie sich nicht wirklich um die Sicherheit der Menschen sorgen.“

Als Antwort sagte Guerrero-Saade, dass 3CX-eigene Benutzer die Angelegenheit eine Woche zuvor in den Support-Foren an das Unternehmen herangetragen hätten. „Diese Angelegenheit wurde Ihnen aufgrund der Entdeckungen von SentinelOne bekannt, die seit dem 22. März in Ihren Support-Foren angesprochen wurden, und wurde nicht angesprochen“, er schrieb(Öffnet in einem neuen Fenster). „Wir waren damit beschäftigt, Kunden zu schützen, die Github-Infrastruktur herunterzufahren und die Nutzlasten der nächsten Stufe zu analysieren. Ich freue mich auf die zukünftige Zusammenarbeit.“

Twittern(Öffnet in einem neuen Fenster)

Wir haben SentinelOne um weitere Kommentare gebeten und werden die Geschichte aktualisieren, wenn wir eine Rückmeldung erhalten.

Es ist unklar, wie 3CX verletzt wurde. Aber es gibt wachsende Besorgnis, dass die Hacker zu einer berüchtigten nordkoreanischen Gruppe namens Lazarus gehören, die das FBI mit dem Hack von Sony Pictures im Jahr 2014 und großen Überfällen auf Banken und Kryptowährungsbörsen in Verbindung gebracht hat.

Cybersicherheitsfirmen Massenschlag(Öffnet in einem neuen Fenster) Und Sophos(Öffnet in einem neuen Fenster) entdeckte Beweise dafür, dass die beim 3CX-Angriff verwendeten Techniken mit denen von Lazarus übereinstimmen.

Inzwischen hat 3CX sagt(Öffnet in einem neuen Fenster) Es beauftragte die Cybersicherheitseinheit Mandiant mit der Untersuchung des Verstoßes. Das Unternehmen fordert die Benutzer auf, die 3CX-Desktop-App zu deinstallieren, bis eine neue Version veröffentlicht werden kann.