Dagad a botrány a 3CX vállalati hang- és videochat alkalmazását ért kibertámadás körül. Az ügyfelek egy része finoman szólva sem elégedett azzal, ahogy a fejlesztő a helyzetet kezelte. Most néhány kutató rátett a cölöpverő kalapácsra pár kilót. Kiderítették: már 2022 novemberében beköltözhettek a megcélzott szervezetek rendszereibe a hekkerek, a 3CX pedig ölbe tett kézzel nézte, hogyan "rohannak el" mellette az események.

Mint a múlt héten a Bitport is beszámolt róla, kompromittálták a 3CX kliens appjának windowsos és Mac OS-es változatát. A rendszert több mint 600 ezer szervezet használja világszerte, köztük olyan globális vállalatok, mint az American Express, a BMW, a Coca Cola, az Ikea, a McDonald's vagy a PwC. A napi felhasználók száma pedig állítólag meghaladja a 12 milliót.

A március 22-én azonosított, SmoothOperator néven emlegetett kampány mögött állami támogatással (utasításra) dolgozó észak-koreai hekkereket gyanítanak. Az érintettek száma több százezer is lehet az alapján, hogy a Huntress több mint 2700 rosszindulatú 3CXDesktopApp bináris példányt azonosított.

Több elképzelés van azzal kapcsolatban, hogy mi a kampány fő célja. Lehet célzott adatgyűjtés, de az is lehet, hogy mindez csak egy második, például zsarolóvírussal elkövetett támadás előkészítése.

Hónapok óta gyűjtötték az információt

Az első hírekből arra lehetett következtetni, hogy a trójait időben sikerült elkapni. Az azóta elvégzett mélyebb elemzések, például a támadáshoz használt infrastruktúra vizsgálata alapján azonban valószínűsíthető, hogy a támadók akár már tavaly novemberben hozzáférhettek a 3CX-rendszerekhez. A sérülékenységre két lehetséges magyarázatot is találtak: vagy a fejlesztői folyamat kompromittálódott, és akkor került a kódba a támadó részlet, vagy egy rosszindulatú függőségre lehet visszavezetni, ami – szintén a fejlesztés során – egy repository csomagból származott.

Az is kiderült azonban, hogy a 3CX lassan reagált. Sokáig ragaszkodott ahhoz, hogy nincs itt semmi látnivaló, és a riasztások tévesek. A support sem volt túl segítőkész a problémázó ügyfelekkel. Mint a SecurityWeek írja, a 3CX vezérigazgatója, Nick Galea egy nyilatkozatában elismerte, hogy kezdetben fals pozitív riasztásnak vélték a jelzéseket, mert a VirusTotal nem találta gyanúsnak a felöltött mintákat. Galea azzal is védekezett, hogy az ilyen jellegű alkalmazások működésük jellege miatt gyakran produkálnak fals pozitív riasztást. (Egyes ügyfeleik viszont úgy vélik: annál azért többet kellene tennie ezekkel a vállalatnak, mint hogy feltölt egy fájlt a VirusTotal rendszerébe.)

Volt olyan vírusvédelmi cég, amely szerint a támadásnak olyan egyértelműek voltak a jelei, hogy a 3CX munkatársainak már az előtt fel kellett volna ismerniük, mielőtt az ügyfelek rendszerei kompromittálódtak volna. Egy neves brit biztonsági kutató, Kevin Beaumont szerint a 3CX általánosan is trehányul kezeli azokat a sérülékenységeket, amelyeket külső kutatók jeleznek.

A mostani incidens súlyosságára utal, hogy szinte minden jelentősebb kiberbiztonsági cég foglakozott vele. A SecurityWeek összegyűjtötte (lásd a keretes szövegrészt) azokat, melyek segítenek a veszély elhárításában, miután a 3CX egyelőre csak a webes kliens használatát tudta javasolni.