Le reti di migliaia di aziende potrebbero essere state compromesse a causa di un attacco alla catena di approvvigionamento della società di telefonia aziendale 3CX. La società ha confermato giovedì che la sua app desktop è stata contaminata da malware
Le reti di migliaia di aziende potrebbero essere state compromesse a causa di un attacco alla catena di approvvigionamento della società di telefonia aziendale 3CX. La società ha confermato giovedì che la sua app desktop è stata contaminata da malware.
Chi è 3CX
3CX fornisce sistemi telefonici VoIP a oltre 12 milioni di utenti giornalieri, in oltre 600.000 organizzazioni. Tra le aziende che utilizzano i suoi sistemi telefonici ci sono aziende del calibro di American Express, Mercedes-Benz e Coca-Cola.
Cosa sappiamo
Le reali entità ed impatto della compromissione non sono ancora chiari ma pare che dietro l’attacco di supply chain vi siano hacker del gruppo Labyrinth Chollima, organizzati dal Governo Nordcoreano.
Giovedì mattina, il fondatore e amministratore delegato Nick Galea ha pubblicamente confermato che la app desktop 3CX contiene un malware.
Pierre Jourdan, il responsabile della sicurezza delle informazioni della società, ha dichiarato che l’intrusione è stata opera di hacker altamente qualificati.
Il problema è stato segnalato all’azienda mercoledì sera, quando diverse società di sicurezza informatica, tra cui SentinelOne, Sophos e CrowdStrike avevano reso pubblici i rapporti sull’intrusione.
Mentre Sophos afferma che, ad essere compromesso, sia solo il client per Windows, Jourdan afferma che sono interessate anche alcune versioni del client 3CX per macOS.
Il software compromesso è in grado di eseguire il sideload del malware, progettato per rubare informazioni sensibili dai browser Web.
Mat Gangwer, vice Presidente del Managed Threat Response di Sophos, ha spiegato che gli aggressori sono riusciti a manipolare l’applicazione per aggiungere un programma di installazione che utilizza il sideload DLL per recuperare un payload dannoso e offuscato.
Le tecniche di sideload osservate non sono nuove, risultando simili a quelle utilizzate in una campagna in cui gli hacker utilizzavano malware diversi nelle unità USB per compromettere i computer in Mongolia, Papua Nuova Guinea, Ghana, Zimbabwe e Nigeria.
La cronistoria
L’attacco è venuto alla luce mercoledì scorso, quando i prodotti di varie società di sicurezza hanno iniziato a rilevare attività dannose provenienti da binari legittimamente firmati per le app desktop 3CX. I preparativi per la sofisticata operazione sono iniziati non più tardi di febbraio 2022.
A marzo dello scorso anno, la società di sicurezza SentinelOne, notò un picco nei rilevamenti comportamentali della App desktop 3CX. Contemporaneamente, gli utenti del software iniziarono a condividere online informazioni su quelli che credevano falsi positivi.
Tutte evidenze che lasciano intendere che l’attacco stia proseguendo da lungo tempo.
Pare che i payload siano stati inseriti in librerie compilate tramite Git, un sistema che gli sviluppatori di software utilizzano per tenere traccia delle modifiche nelle app che producono.
Nel frattempo, molti dei server controllati dagli aggressori che le macchine infette contattano, sono già stati spenti.
Un caso simile della storia recente
L’incidente ricorda un attacco alla supply chain rilevato nel dicembre 2020, che colpì gli utenti del software di gestione delle reti Solarwinds.
All’epoca, il governo degli Stati Uniti e diversi ricercatori di sicurezza attribuirono l’attacco a Cozy Bear, uno dei nomi di un gruppo di hacker che si ritiene faccia parte del Servizio di sicurezza federale russo (FSB).
Come nel caso di 3CX, gli hacker di SolarWinds furono in grado di distribuire una backdoor a circa 18.000 utenti mediante un aggiornamento. Tra le vittime vi furono le aziende Malwarebytes, FireEye e Microsoft, 10 agenzie governative statunitensi, tra cui i Dipartimenti di Giustizia, Commercio, Tesoro, Energia e Sicurezza Nazionale e delle ONG, annoverando la campagna di hacking tra le peggiori nella storia moderna degli Stati Uniti.
Corsa ai ripari
Trascorrerà certamente del tempo prima di conoscere il reale impatto del nuovo attacco ma una cosa è certa: in attesa di avere conferme ufficiali su quali versioni utilizzare, è prudente rimuovere i client desktop e utilizzare le PWA (Progressive Web Apps).
Autore: Marco Marra
