Die Kompromittierung der 3CX-Kommunikationssoftware ging als der erste öffentlich dokumentierte Vorfall in die Geschichte ein, bei dem ein Angriff in der Lieferkette zu einem weiteren führte. Zu den bestätigten Opfern gehören zwei kritische Infrastrukturunternehmen aus dem Energiesektor und zwei Unternehmen aus dem Finanzsektor.
Bei einem Supply-Chain-Angriff wird versucht, die Cybersicherheitsabwehr zu umgehen, indem das System eines Opfers über die Software-Update-Mechanismen eines vertrauenswürdigen externen Anbieters infiltriert wird.
Die Kampagne, die auf 3CX abzielte, begann mit einer trojanisierten Version der nicht unterstützten Finanzsoftware X_TRADER. Dies führte dann zur Kompromittierung des Unternehmens, seiner Software und seiner Kunden. Daten aus der ESET-Telemetrie deuten darauf hin, dass Hunderte von bösartigen 3CX-Anwendungen von Kunden verwendet wurden.
Sobald die X_TRADER-Software mit trojanisierter Dynamic Link Library (DLL) installiert ist, sammelt sie Informationen, stiehlt Daten, einschließlich Anmeldeinformationen von verschiedenen Browsern, und ermöglicht es den Angreifern, Befehle auf einem angegriffenen Computer zu erteilen. Dieser beispiellose Zugang wurde auch genutzt, um die Software von 3CX zu kompromittieren und sie zu nutzen, um Informationen stehlende Malware an Firmenkunden des Unternehmens zu liefern.
Bei der Untersuchung einer ähnlichen Kampagne namens Operation DreamJob, die auf Linux-Nutzer abzielte, fanden die ESET-Forscher Verbindungen zur Lazarus-Gruppe, einem mit Nordkorea verbündeten Bedrohungsakteur.
Es stellt sich jedoch die Frage, wie sich ein Unternehmen verteidigen kann, wenn zwar alle Sicherheitsvorkehrungen getroffen wurden, die Gefahr jedoch von einem Anbieter oder einem eigentlich vertrauenswürdigen Partner ausgeht
Wie hat sich die Malware verbreitet?
X_TRADER ist ein professionelles Finanzhandels-Tool, das von Trading Technologies entwickelt wurde. Das Unternehmen hat diese Software im April 2020 außer Betrieb genommen, aber sie stand auch 2022 noch zum Download bereit. In dieser Zeit wurde die Website des Anbieters kompromittiert und bot stattdessen einen bösartigen Download an. Lazarus drang wahrscheinlich im Jahr 2022 bei Trading Technologies ein. Obwohl Trading Technologies angab, dass seine Kunden über einen Zeitraum von 18 Monaten mehrfach darüber informiert wurden, dass das Unternehmen den X_Trader nach April 2020 nicht mehr unterstützen oder warten würde, stieß dies offenbar auf taube Ohren, da die Software, die nun kompromittiert war, weiterhin heruntergeladen wurde.
"Es gab für niemanden einen Grund, die Software herunterzuladen, da TT das Hosting, den Support und die Wartung von X_Trader nach Anfang 2020 eingestellt hat", heißt es in der Erklärung. Das Unternehmen teilte weiter mit, dass weniger als 100 Personen das kompromittierte X_Trader-Paket zwischen dem 1. November 2021 und dem 26. Juli 2022 heruntergeladen haben - eine geringe Zahl, die jedoch eine kumulative Wirkung hatte.
Eine der Personen, die X_Trader heruntergeladen haben, war ein 3CX-Mitarbeiter, der die kompromittierte Software auf seinem persönlichen Computer installiert hat. Die Software enthält Malware, die von ESET als Win32/NukeSped.MO (auch bekannt als VEILEDSIGNAL) erkannt wird.
"Nach der anfänglichen Kompromittierung des PCs des Mitarbeiters durch die VEILEDSIGNAL-Malware hat Mandiant festgestellt, dass der Bedrohungsakteur die 3CX-Unternehmensanmeldedaten des Mitarbeiters von seinem System gestohlen hat. VEILEDSIGNAL ist eine voll funktionsfähige Malware, die dem Angreifer Zugriff auf Administrator-Ebene und Persistenz auf dem kompromittierten System ermöglichte", schrieb 3CX Chief Network Officer Agathocles Prodromou im Blog des Unternehmens.
Aus dieser Geschichte lassen sich mehrere Lehren ziehen. Fangen wir von vorne an:
1. Verwenden Sie geprüfte und aktualisierte Software aus einer legitimen Quelle
Die ganze Kompromittierung begann damit, dass ein Mitarbeiter eine Software-App herunterlud, die seit April 2020 nicht mehr unterstützt wurde. Dies sollte eine Erinnerung daran sein, warum es so wichtig ist, verifizierte und aktualisierte Software zu verwenden, da nicht unterstützte Software leicht ausgenutzt werden kann.
Vergleichen Sie beim Herunterladen von Software den Hash-Wert mit dem vom Anbieter angegebenen. Die Anbieter veröffentlichen oft Hashes neben den Download-Links, oder Sie können sich direkt an sie wenden und nach diesen Hashes fragen. Wenn diese Hashes nicht übereinstimmen, laden Sie möglichweise eine veränderte Software herunter.
Vergewissern Sie sich auch, dass Sie die Software von einer legitimen Website herunterladen, denn Betrüger können eine gefälschte Website erstellen, die sich als die Original-Website ausgibt.
Wenn Sie sich nicht sicher sind, ob ein Datei-Hash oder eine Website legitim ist, sollten Sie VirusTotal überprüfen. Dabei handelt es sich um ein kostenloses, suchmaschinenähnliches Tool, das Objekte mit über 70 Antiviren-Scannern und URL-/Domain-Blockierungsdiensten überprüft und zusätzlich eine Vielzahl von Tools zur Extraktion von Signalen aus den untersuchten Inhalten bereitstellt. Es kann Dateien, Domänen, IP-Adressen und URLs analysieren, um festzustellen, ob eine bestimmte Antivirenlösung eine übermittelte Datei als bösartig erkannt hat. Es führt auch Samples in verschiedenen Sandboxen aus.
2. Machen Sie Ihre Mitarbeiter weniger angreifbar
Nachdem die Schadsoftware auf dem Computer des 3CX-Mitarbeiters installiert war, schritt der Angriff voran. So konnten die Bedrohungsakteure die Anmeldedaten des Mitarbeiters stehlen und in das gesamte Unternehmenssystem von 3CX eindringen.
Die beste Methode, um solche Situationen zu vermeiden, ist die Verwendung von Datenverschlüsselung und Multi-Faktor-Authentifizierung, um den illegalen Zugang zu Unternehmenssystemen zu verhindern und mehrere Verteidigungsebenen zu schaffen, die es Gaunern wesentlich schwerer machen, Zugang zu erhalten.
Auch die Zugriffsrechte sollten strenger verwaltet werden. Es ist nicht notwendig, dass alle Mitarbeiter die gleichen Zugriffsrechte auf alle Unternehmensumgebungen haben. Natürlich brauchen Administratoren und Software-Ingenieure einen breiteren Zugang, aber ihre Zugriffsberechtigungen können auch unterschiedlich sein.
Sensible Daten sollten auch von den Geräten der Mitarbeiter ferngehalten und nur über ein sicheres Cloud-System freigegeben werden, das am besten durch zusätzliche Cloud- und Serversicherheit geschützt ist.
3. Befolgen Sie eine strenge Passwortrichtlinie
Eine strenge Kennwortrichtlinie kann Angriffe weitgehend verhindern, aber es ist unnötig, Ihre Mitarbeiter mit ständigen Kennwortänderungen und umfangreichen Anforderungen an die Kennwortkomplexität zu schikanieren. Der aktuelle Trend geht dahin, Standardpasswörter durch Passphrasen zu ersetzen - eine sicherere und schwieriger zu erratende Alternative zu Passwörtern.
In der Vergangenheit bestand ein Passwort, das als sicher galt, aus mindestens acht Zeichen, darunter Groß- und Kleinbuchstaben, mindestens einer Zahl und einem Sonderzeichen. Dieser Ansatz führte zu einem Problem, da es mühsam war, sich Dutzende verschiedener komplexer Passwörter für alle genutzten Websites und Geräte zu merken, so dass die Menschen dazu neigten, dasselbe Passwort an verschiedenen Stellen wiederzuverwenden, was sie anfälliger für Brute-Force-Angriffe und das Erraten von Anmeldeinformationen machte.
Aus diesem Grund verlangen die Experten nicht länger eine zufällige Zeichenfolge, sondern raten stattdessen zur Verwendung von Phrasen, die leicht zu merken sind. Diese Passphrasen sollten nach wie vor Zahlen und Sonderzeichen, wenn möglich sogar einschließlich Emojis, enthalten damit sie von Maschinen nicht leicht erraten werden können. Passkeys sind ebenfalls eine erwähnenswerte Alternative, da sie durch Verschlüsselung einen noch höheren Schutz bieten.
4. Privilegierte Zugriffsverwaltung in Betracht ziehen
Die Verwaltung privilegierter Zugriffe (Privileged Access Management, PAM) verhindert, dass Angreifer auf privilegierte Unternehmenskonten zugreifen können, z. B. auf die Konten von Managern, Wirtschaftsprüfern und Administratoren, die Zugriff auf sensible Daten haben.
Um zu verhindern, dass solche wertvollen Konten kompromittiert werden, sollten einige zusätzliche Schutzmaßnahmen ergriffen werden: Just-in-Time-Zugriff auf kritische Ressourcen, Überwachung privilegierter Sitzungen und strengere Passwortrichtlinien, um nur einige zu nennen.
Zulieferer und Partner können über einen Angriff in der Lieferkette in Ihr System eindringen. Daher ist es eine gute Idee, für sie strenge Sicherheitsanforderungen festzulegen. Sie können auch Datenlecks bei Dritten aufspüren oder eine Sicherheitsbewertung durchführen, um Datenlecks und Sicherheitslücken zu finden, bevor Hacker sie ausnutzen können.
5. Einspielen der neuesten Patches
Bei dem Angriff auf die 3CX-Lieferkette nutzten die Angreifer eine Schwachstelle in einer Signaturprüfungsfunktion von Windows aus, die Microsoft 2013 behoben hat.
In diesem Fall handelt es sich jedoch um eine Besonderheit, da die Behebung optional ist, wahrscheinlich aus der Sorge heraus, dass die Anwendung des Patches dazu führt, dass Windows die Signaturen von nicht konformen Dateien nicht mehr prüft. Dies gibt Hackern reichlich Handlungsspielraum, denn um die 3CX-Anwendung zu trojanisieren, fügten die Angreifer bösartigen Code in zwei von ihr verwendete DLLs ein, und zwar so, dass anfällige Windows-Systeme die Signaturen immer noch verifizieren würden.
Die Behebung von Schwachstellen durch die Hersteller ist der Schlüssel zur Verhinderung von Bedrohungen. Holen Sie sich daher nach Möglichkeit die neuesten Sicherheits-Patches und Updates für Anwendungen und Betriebssysteme, sobald sie verfügbar sind.
6. Setzen Sie Ihre Sicherheitsstandards hoch an
Beginnen Sie mit einer geeigneten Antimalware-Software. Führende Cybersicherheitslösungen bieten einen mehrschichtigen Schutz, der Bedrohungen erkennt, bevor sie heruntergeladen oder ausgeführt werden.
Wenn ein Gerät bereits mit Malware infiziert ist, sollte Ihr Schutz Malware erkennen und blockieren, die versucht, Dateien zu löschen oder zu verschlüsseln, z. B. Wiper oder Ransomware.
Vergessen Sie nicht zu überprüfen, ob Sie die neueste Version Ihres Endpunktschutzes haben.
Der nächste Schritt besteht darin, die Angriffsfläche zu verringern. Wie der 3CX-Angriff zeigt, sind Schwachstellen nicht nur ein Software-Problem - auch einfache menschliche Fehler können zu verheerenden Folgen führen.
Unternehmen sollten auch Sicherheitsreaktionspläne für Zwischenfälle erstellen. Diese umfassen in der Regel Vorbereitung, Erkennung, Reaktion, Wiederherstellung und Analyse nach einem Vorfall. Vergessen Sie auch nicht, Ihre Dateien kontinuierlich zu sichern, um die Geschäftskontinuität im Falle einer Störung zu gewährleisten.
Lektion gelernt: (Cyber-)Sicherheit hat mit Menschen genauso viel zu tun wie mit Software
Die Schlussfolgerung ist klar: Der 3CX-Angriff hat gezeigt, wie heimtückisch Angriffe auf die Lieferkette sein können, aber das Wichtigste ist, dass ein einziger menschlicher Fehler genügt, um das ganze Kartenhaus zum Einsturz zu bringen.
Wir hoffen, dass Sie nach der Lektüre dieses Blogs besser verstehen, wie Sie sich auf Bedrohungen vorbereiten können, die von Softwareanbietern und -lieferanten ausgehen. Auch wenn menschliches Versagen vorprogrammiert ist, kann eine solide Cybersicherheitsstrategie zumindest die meisten Ängste vor Cyberangriffen mindern.