Aplikacja nagrywająca rozmowy i ułatwiająca wideokonferencje – 3CX Voice over Internet Protocol (VOIP) jest wykorzystywana przez hakerów do atakowania klientów oraz łańcuchu dostaw. 3CX to firma opracowująca oprogramowanie VoIP IPBX, której system telefoniczny 3CX jest używany przez ponad 600 000 firm na całym świecie i ma ponad 12 milionów użytkowników dziennie. W Polsce z usług 3CX korzysta ponad 150 dużych firm.
– Jest to klasyczny atak na łańcuch dostaw, chociaż nie ma żadnych dowodów na to, że doszło do jakiejkolwiek ingerencji w kod źródłowy 3CXDesktopApp. Nikt jednak nie spodziewał się, że aplikacja może stać się celem ataku, gdzie wprowadzono złośliwy implant – twierdza analitycy firmy Check Point Software.
Aplikacja może nagrywać rozmowy i ułatwiać wideokonferencje i może być używana w systemach operacyjnych Windows, macOS i Linux. Jest to narzędzie, z którego korzystają firmy, gdy mają hybrydową lub zdalną siłę roboczą, a ich klientami są usługodawcy rządowi, tacy jak brytyjski system zdrowia (NHS), czy duże przedsiębiorstwa, takie jak American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA i sieć hoteli HollidayInn. Zgodnie z alertami badaczy bezpieczeństwa, napastnicy atakują zarówno użytkowników Windows, jak i macOS zaatakowanej aplikacji softphone 3CX.
– Ataki na łańcuch dostaw to jedna z najbardziej złożonych form ataku. Dostawcy zabezpieczeń nie mogą polegać wyłącznie na rozwiązaniach opartych na reputacji lub rozwiązaniach jednowarstwowych. Muszą kwestionować aktywność widzianą w sieci, punktach końcowych, serwerach – dodają eksperci firmy Check Point.
Analitycy nie są pewni co do grupy, która stoi za atakami – na pewno są one wspierane przez organizacje państwowe i są podobne działań innych cyberprzestępców, takich jak Lazarus Group, UNC4034.
Jak firmy mogą zabezpieczyć się przed tego typu atakami? Rozwiązaniem może być platforma automatycznie powstrzymująca propagację i rozprzestrzenianie się zagrożeń, prowadząca analizę śledczą jako dodatkową weryfikację dla użytkownika SecOps.
