Egy hang- és videokonferencia-szolgáltatás kliens appja veszélyezteti több globális vállalat biztonságát. IT-biztonsági cégek szerint a 3CX kliensének egy olyan, trójai kódot tartalmazó verziója terjed, amivel adatokat lehet lopni, és később fel lehet használni célzott támadásokra is. A probléma komoly, tekintve, hogy a rendszert világszerte több mint 600 ezer szervezet használja az American Expresstől a PwC-ig, de például a 3CX rendszerén videokonferenciáznak a brit Nemzeti Egészségügyi Szolgálat, több autógyártó, légitársaság és szállodalánc munkatársai is. Maga a 3CX azt állítja, hogy a napi aktív felhasználók száma meghaladja a 12 milliót.

A problémát, melyet a SentinelOne nyomán a legtöbben Smooth Operatorként emlegetnek, a CrowdStrike és a Sophos is elemezte, és az a konszenzus alakult ki, hogy leginkább a SolarWinds-támadáshoz hasonlít. A támadás során egy olyan 3CXDesktopApp-telepítő kerül a kliens rendszerre, amely nem csak a 3CX-klienst, hanem egy információlopó malware-t is telepít.

A malware első körben rendszerinformációkat, adatokat, tárolt hitelesítési információkat (pl. felhasználónév-jelszó párosok) lop Chrome-, Edge-, Brave- és Firefox-felhasználói profilokból. A CrowdStrike kutatói szerint az adatgyűjtés csak az első fázis. Utána a malware kapcsolódik egy a támadók által irányított infrastruktúrához, és onnan kapott utasításokat hajt végre (hasznos terhelések telepítése, billentyűzetfigyelés stb.). A malware windowsos és macOS-es kliensen keresztül támad (különösen a 18.12.407 és 18.12.416 verziószámok alatt futó kliensek veszélyeztetettek), de a kutatók úgy vélik, a linuxos, iOS-es és androidos változat egyelőre biztonságos.

A rosszindulatú tevékenységre utaló jeleket először március 22-én érzékelték a kutatók. Azok alapos elemzése után derült ki, hogy támadók a 3CX kliensének egy olyan, trójait tartalmazó verzióját próbálják telepíteni, amelynek érvényes volt a digitális tanúsítványa.

Állami szereplők lehetnek a háttérben

A 3CX CISO-ja, Pierre Jourdan elismerte a problémát. Elemzéseik alapján azt is valószínűnek tartják, hogy ez egy célzott APT (Advanced Persistent Threat) támadás, amiről nem lehet kizárni, hogy közvetve állami szereplők állhatnak mögötte, írja a TechCrunch. A CrowdStrike is erre jutott, ők észak-koreai hátteret sejtetnek, szerintük legvalószínűbb, hogy a Labyrinth Chollima, a hírhedt Lazarus egyik alcsoportja állhat a támadás mögött.

A 3CX amellett, hogy sűrű elnézéseket kér a kellemetlenségekért, egyelőre csak a legfapadosabb megoldást tudja javasolni a támadás kivédésére: az app eltávolítását és újratelepítését. A másik megoldás, hogy a felhasználók áttérnek a rendszer PWA (Progressive Web App) kliensére. A SecurityWeek beszámolója szerint Pierre Jourdan azt nyilatkozta, hogy a káros kód a legtöbb fertőzött rendszeren egyelőre nem aktivizálódott.

A probléma és a kockázatok teljes feltérképezése még tart. Egyelőre nem lehet tudni, hogy a támadás potenciálisan hány szervezetre jelent veszélyt. Az internetre csatlakoztatott eszközöket monitorozó oldal, a Shodan.io például több mint 240 ezer nyilvánosan elérhető 3CX telefonmenedzsment rendszert lát világszerte.