Compromiterea software-ului de comunicații 3CX a intrat în istorie ca fiind primul incident documentat public al unui atac al lanțului de aprovizionare care a condus la un altul. Printre victimele confirmate se numără două organizații de infrastructură critică din sectorul energetic și două organizații din sectorul financiar.

Un atac al lanțului de aprovizionare încearcă să se sustragă apărării securității cibernetice prin infiltrarea în sistemul unei victime prin mecanismele de actualizare software ale unui furnizor extern de încredere.

Campania care a vizat aplicațiile 3CX a început cu o versiune troian a software-ului financiar X_TRADER incompatibil. Acest lucru a condus ulterior la compromiterea companiei, al software-ului și al clienților săi. Datele din telemetria ESET sugerează că au existat sute de aplicații 3CX rău intenționate utilizate de clienți.

Odată ce software-ul X_TRADER cu biblioteca de legături dinamice (DLL) este instalat, acesta adună informații, fură date, inclusiv datele de conectare pentru mai multe browsere și le permite atacatorilor să emită comenzi pe un computer hackuit. Acest acces fără precedent a fost, de asemenea, folosit pentru a compromite software-ul 3CX, folosindu-l pentru a furniza malware care fură informațiile clienților corporativi ai companiei.

În timp ce investigau campania asociată numită Operațiunea DreamJob, care vizează utilizatorii Linux, cercetătorii ESET au găsit legături cu grupul Lazarus, un actor de amenințări asociat cu Coreea de Nord. Cu toate acestea, întrebarea este cum se poate apăra o companie în cazurile în care toate straturile sale de securitate sunt în vigoare, dar pericolul vine de la un furnizor sau un partener de încredere?

Cum s-a răspândit acest malware?

X_TRADER este un instrument profesional de tranzacționare financiară dezvoltat de Trading Technologies. Compania a dezafectat acest software în aprilie 2020, dar a rămas disponibil pentru descărcare chiar și în 2022. Între timp, în această perioadă, site-ul web al furnizorului a fost compromis, oferind spre descărcare o versiune malițioasă. În timp ce Trading Technologies a afirmat că anumiți clienți de-ai lor au primit mai multe comunicări pe o perioadă de 18 luni, notificându-i că compania nu va mai sprijini sau deservi X_Trader după aprilie 2020, se pare că oamenii nu au luat în calcul mesajele și au continuat să descarce software-ul, care acum era compromis.

„Nu a existat niciun motiv pentru ca cineva să descarce software-ul, având în vedere că TT a încetat să găzduiască, să asiste și să deservească X_Trader după începutul anului 2020”, se arată în declarația lor. Compania a mai dezvăluit că mai puțin de 100 de persoane au descărcat pachetul compromis X_Trader între 1 noiembrie 2021 și 26 iulie 2022, un număr mic, dar care a avut un efect cumulativ.

Una dintre persoanele care a descărcat X_Trader a fost un angajat 3CX, care a instalat software-ul compromis pe computerul personal. Software-ul conține programe malware pe care ESET îl detectează ca Win32/NukeSped.MO (alias VEILEDSIGNAL).

„În urma compromisului inițial al computerului personal al angajatului care a folosit malware-ul VEILEDSIGNAL, Mandiant evaluează că actorul amenințării a furat acreditările corporative 3CX ale angajatului din sistemul său. VEILEDSIGNAL este un program malware complet care a oferit actorului amenințării acces la nivel de administrator pentru sistemul compromis”, a scris 3CX Chief Network Officer Agathocles Prodromou pe blogul companiei.

Din această poveste pot fi învățate mai multe lecții. Să începem de la început:

1. Utilizați software verificat și actualizat dintr-o sursă legitimă

Întregul incident de securitate a început cu un angajat care a descărcat o aplicație software care nu a mai fost disponibilă din aprilie 2020. Acesta ar trebui să fie un memento de ce este esențial să utilizați software verificat și actualizat, deoarece versiunile vechi pot fi exploatate cu ușurință.

Când descărcați software, comparați hash-ul acestuia cu cel oferit de furnizor. Furnizorii publică adesea aceste hash-uri pe lângă linkuri de descărcare sau îi puteți contacta direct și cere acele hash-uri. Dacă acele hash-uri nu se potrivesc, înseamnă că descărcați software compromis. De asemenea, asigurați-vă că descărcați software de pe un site web legitim, deoarece escrocii pot crea un site fals care uzurpă identitatea celui original.

Dacă nu sunteți sigur de legitimitatea unui fișier hash sau a unui site web, luați în considerare verificarea VirusTotal. Este un instrument gratuit asemănător unui motor de căutare care inspectează articole cu peste 70 de scanere antivirus și servicii de blocare a adreselor URL/domenii, în plus față de o multitudine de instrumente pentru a extrage mostre din conținutul studiat. Poate analiza fișiere, domenii, adrese IP și adrese URL pentru a spune dacă o anumită soluție antivirus a detectat un fișier trimis ca fiind rău intenționat. De asemenea, rulează mostre în mai multe medii sandbox.

2. Întăriți apărarea angajaților

După ce software-ul rău intenționat a fost instalat pe computerul personal al angajatului 3CX, atacul a progresat. În consecință, actorii amenințărilor au putut să fure acreditările angajatului și să pătrundă în întregul sistem corporativ al 3CX.

Cea mai bună practică pentru a evita astfel de situații este de a folosi criptarea datelor și autentificarea cu mai mulți factori pentru a bloca accesul nelegitim la sistemele companiei, creând mai multe straturi de apărare pentru a îngreuna infiltrarea escrocilor.

În mod similar, drepturile de acces ar trebui gestionate mai atent. Nu este nevoie ca toți angajații să aibă aceleași drepturi de acces pentru toate mediile companiei. Cu siguranță, administratorii și inginerii de software au nevoie de un acces mai larg, dar permisiunile lor de acces pot diferi și ele. Datele sensibile ar trebui, de asemenea, să nu fie păstrate pe dispozitivele angajaților și să fie partajate numai printr-un sistem cloud securizat, cel mai bine protejat cu o soluție de securitate suplimentară în cloud și server.

3. Implementați o politică puternică de parole

A avea o politică puternică privind parolele poate contribui în mare măsură la prevenirea atacurilor, dar nu este necesar să hărțuiți angajații cu modificări constante ale parolelor și cerințe extinse pentru complexitatea acestora. Tendința actuală este de a înlocui parolele standard cu fraze de acces, o alternativă mai sigură și mai greu de ghicit la parole.

În trecut, o parolă care era considerată puternică avea cel puțin opt caractere, inclusiv litere mari și mici, cel puțin o cifră și un caracter special. Această abordare a cauzat o problemă, deoarece memorarea a zeci de parole complexe diferite pe toate site-urile și dispozitivele utilizate a reprezentat o provocare, așa că oamenii au avut tendința de a refolosi aceeași parolă în locuri diferite, rămânând vulnerabili la atacurile de forță brută și la cele de tip credential stuffing.

Prin urmare, experții nu mai cer un șir de caractere aleatorii, ci în schimb sfătuiesc să fie folosite fraze de acces ușor de reținut. Acestea ar trebui să conțină în continuare cifre și caractere speciale, inclusiv emoji-uri, pentru a împiedica infractorii să le ghicească cu ușurință. Cheile de acces sunt, de asemenea, o alternativă demnă de menționat, deoarece folosesc criptarea pentru o protecție mai ridicată.

4. Luați în considerare gestionarea accesului privilegiat

Managementul accesului privilegiat (PAM) împiedică atacatorii să ajungă la conturile corporative privilegiate, cum ar fi cele ale managerilor, auditorilor și administratorilor, persoane cu acces la date sensibile.

Pentru a apăra astfel de conturi valoroase în fața unor incidente de securitate, ar trebui să existe niște straturi suplimentare de protecție: acces direct la resursele critice, monitorizarea sesiunilor privilegiate și politici mai stricte pentru parole, pentru a numi câteva.

Furnizorii și partenerii prezintă o verigă slabă, o cale de acces vulnerabilă către sistemul dvs. în cazul unui atac al lanțului de aprovizionare. Prin urmare, stabilirea unor cerințe stricte de securitate pentru aceștia este o idee bună. De asemenea, puteți efectua detecții de scurgeri de date de la terți sau o evaluare a securității pentru a găsi orice scurgeri de date și lacune de securitate înainte ca hackerii să aibă șansa de a le exploata.

5. Instalați ultimele actualizări

Ca parte a atacului lanțului de aprovizionare pentru 3CX, actorii amenințărilor au exploatat o vulnerabilitate dintr-o funcție de verificare a semnăturii din Windows pe care Microsoft a remediat-o în 2013.

Cu toate acestea, acest caz este specific deoarece acest patch este opțional, probabil din cauza îngrijorării că aplicarea patch-ului înseamnă că Windows nu mai verifică semnăturile fișierelor neconforme. Acest lucru oferă hackerilor spațiu suficient pentru a acționa, deoarece, pentru a face un troian din aplicația 3CX, atacatorii au inserat cod malițios în două DLL-uri utilizate de aceasta, astfel încât sistemele vulnerabile Windows ar continua să verifice în continuare semnăturile.

Remedierea vulnerabilităților de către furnizori este esențială în prevenirea amenințărilor, așa că, ori de câte ori este posibil, obțineți cele mai recente patch-uri de securitate și instalați actualizări ale aplicațiilor și ale sistemului de operare de îndată ce sunt disponibile.

6. Setați standarde de securitate ridicate

Începeți cu un software antimalware adecvat. Soluțiile de vârf de securitate cibernetică oferă protecție pe mai multe straturi care poate recunoaște amenințările cunoscute înainte de descărcare sau execuție. Verificați mereu dacă aveți cea mai recentă versiune de protecție instalată pe toate endpoint-urile.

În cazurile în care programele malware au infectat deja un dispozitiv, protecția dvs. ar trebui să detecteze și să răspundă la programele malware care ar putea încerca să șteargă fișiere sau să le cripteze, cum ar fi malware de tip wiper sau ransomware.

Următorul pas este să reduceți suprafața de atac. După cum demonstrează atacul 3CX, vulnerabilitățile nu sunt asociate doar cu o problemă de software, o simplă eroare umană poate duce la fel de bine la consecințe devastatoare.

De asemenea, companiile ar trebui să pregătească planuri de răspuns de securitate pentru incidente. Acestea includ de obicei pregătirea, detecția, răspunsul, recuperarea și analiza post-incident. De asemenea, nu uitați să faceți copii de rezervă în mod continuu pentru a vă asigura continuitatea afacerii în cazul unui incident cibernetic.

Lecția învățată: securitatea cibernetică este atât despre oameni cât și despre software

Concluzia este clară: atacul 3CX a demonstrat cât de insidioase pot fi atacurile asupra lanțului de aprovizionare, iar cel mai important aspect evidențiat este că o singură eroare umană este suficientă pentru ca tot sistemul să fie compromis și că o poziție solidă de securitate cibernetică poate cel puțin atenua majoritatea temerilor legate de siguranța online.