La compromission du logiciel de communication 3CX est entrée dans l'histoire en tant que premier incident publiquement documenté d'une attaque de la chaîne d'approvisionnement en entraînant une autre. Deux organisations d'infrastructures critiques dans le secteur de l'énergie et deux organisations dans le secteur financier figurent parmi les victimes confirmées.
Une attaque par chaîne d'approvisionnement tente d'échapper aux défenses de cybersécurité en infiltrant le système d'une victime par le biais des mécanismes de mise à jour logicielle d'un fournisseur externe, de confiance.
La campagne ciblant 3CX a commencé par une version trojanisée du logiciel financierX_TRADER en fin de vie . Cela a ensuite conduit à la compromission de la société, de son logiciel et de ses clients. Les données télémétriques d'ESET suggèrent que des centaines d'applications 3CX malveillantes ont été installées par les clients.
Une fois installé, le logiciel X_TRADER, dont la bibliothèque de liens dynamiques (DLL) a été trojanisée, recueille des informations, vole des données, y compris les identifiants de plusieurs navigateurs, et permet aux attaquants d'émettre des commandes sur l’ordinateur piraté. Cet accès sans précédent a également été utilisé pour compromettre le logiciel de 3CX et l'utiliser pour diffuser des logiciels malveillants, (infostealer) voleurs d'informations, aux entreprises clientes de la société.
En enquêtant sur la campagne connexe appelée Operation DreamJob ciblant les utilisateurs de Linux, les chercheurs d'ESET ont trouvé des liens avec le groupe Lazarus, un mode opératoire aligné avec la Corée du Nord.
Cependant, la question est de savoir comment une entreprise peut se défendre lorsque toutes ses couches de sécurité sont en place mais que le danger provient d'un fournisseur ou d'un partenaire de confiance.
Comment le logiciel malveillant s'est-il propagé ?
X_TRADER est un outil professionnel de trading financier développé par Trading Technologies. L'entreprise a mis ce logiciel en fin de vie en avril 2020, mais il est resté disponible au téléchargement même en 2022. Pendant ce temps, le site web de l'éditeur a été compromis, proposant un téléchargement malveillant. Lazarus a probablement pénétré Trading Technologies en 2022. Bien que Trading Technologies ait déclaré que ses clients avaient reçu de nombreuses communications au cours d'une période de 18 mois les informant que la société ne prendrait plus en charge X_Trader au-delà d'avril 2020, ces communications sont apparemment restées lettre morte, car les gens ont continué à télécharger le logiciel, qui était désormais compromis.
"Il n'y avait aucune raison pour que quiconque télécharge le logiciel étant donné que TT a cessé d'héberger, de soutenir et d'entretenir X_Trader après le début de l'année 2020", peut-on lire dans leur déclaration. La société a également révélé que moins de 100 personnes ont téléchargé le logiciel X_Trader compromis entre le 1er novembre 2021 et le 26 juillet 2022 - un petit nombre, mais qui a eu un effet cumulatif.
L'une des personnes ayant téléchargé X_Trader était un employé de 3CX, qui a installé le logiciel compromis sur son ordinateur personnel. Le logiciel contient un logiciel malveillant qu'ESET détecte comme étant Win32/NukeSped.MO (alias VEILEDSIGNAL).
"Suite à la compromission initiale de l'ordinateur personnel de l'employé à l'aide du logiciel malveillant VEILEDSIGNAL, Mandiant évalue que l'acteur de la menace a volé les informations d'identification de l'entreprise 3CX de l'employé à partir de son système. VEILEDSIGNAL est un logiciel malveillant complet qui a fourni à l'acteur de la menace un accès de niveau administrateur et une persistance sur le système compromis", a écrit Agathocles Prodromou, Chief Network Officer de 3CX, sur le blog de l'entreprise .
Plusieurs leçons peuvent être tirées de cette histoire. Commençons par le commencement :
1. Utiliser des logiciels vérifiés et mis à jour provenant d'une source légitime
La compromission a commencé par le téléchargement par un employé d'un logiciel qui n'était plus prise en charge depuis avril 2020. Cela devrait nous rappeler qu'il est essentiel d'utiliser des logiciels vérifiés et mis à jour, car les logiciels non pris en charge peuvent être facilement exploités.
Lorsque vous téléchargez un logiciel, comparez la somme de hachage avec celle fournie par l’éditeur. Les éditeurs publient souvent des hachages à côté des liens de téléchargement, ou vous pouvez les contacter directement et leur demander ces hachages. Si ces hachages ne correspondent pas, vous téléchargez un logiciel altéré.
De même, assurez-vous que vous téléchargez un logiciel à partir d'un site web légitime, car les escrocs peuvent créer un faux site web qui se fait passer pour le site original.
Si vous n'êtes pas sûr de la légitimité d'un hachage de fichier ou d'un site web, pensez à consulter VirusTotal. Il s'agit d'un outil gratuit semblable à un moteur de recherche qui inspecte les éléments avec plus de 70 scanners antivirus et services de blocage d'URL/de domaines, en plus d'une myriade d'outils permettant d'extraire des signaux du contenu étudié. Il peut analyser des fichiers, des domaines, des adresses IP et des URL pour déterminer si une solution antivirus donnée a détecté un fichier soumis comme étant malveillant. Il exécute également des échantillons dans plusieurs bacs à sable.
2. Rendez vos employés moins vulnérables
Une fois le logiciel malveillant installé sur l'ordinateur personnel de l'employé de 3CX, l'attaque a progressé. Par conséquent, les acteurs de la menace ont été en mesure de voler les informations d'identification de l'employé et de pénétrer dans l'ensemble du système de l'entreprise 3CX.
La meilleure pratique pour éviter de telles situations est d'utiliser le chiffrement des données et l'authentification multifactorielle pour empêcher tout accès illégitime aux systèmes de l'entreprise, en créant plusieurs couches de défense pour rendre l'accès beaucoup plus difficile aux attaquants.
De même, les droits d'accès doivent être gérés de manière stricte. Il n'est pas nécessaire que tous les employés aient les mêmes droits d'accès à tous les environnements de l'entreprise. Certes, les administrateurs et les ingénieurs logiciels ont besoin d'un accès plus large, mais leurs autorisations d'accès peuvent également être différentes.
Les données sensibles ne devraient également pas être stockées sur les appareils des employés et n'être partagées que par l'intermédiaire d'un système en nuage sécurisé, protégé par des mesures de sécurité supplémentaires.
3. Appliquer une politique de mot de passe stricte
La mise en place d'une politique de mot de passe robuste va grandement contribuer à prévenir les attaques, mais il n'est pas nécessaire d'intimider vos employés en les obligeant à changer constamment de mot de passe et en leur imposant des exigences trop strictes en matière de complexité des mots de passe. La tendance est de remplacer les mots de passe standard par des phrases de passe, une alternative plus sûre et plus difficile à deviner que les mots de passe.
Dans le passé, un mot de passe considéré comme solide comportait au moins huit caractères, dont des lettres majuscules et minuscules, au moins un chiffre et un caractère spécial. Cette approche posait un problème, car il était pénible de se souvenir de dizaines de mots de passe complexes différents sur tous les sites web et appareils utilisés. Les gens avaient donc tendance à réutiliser le même mot de passe à différents endroits, ce qui les rendait plus vulnérables aux attaques par force brute et au bourrage d'identifiants (credential stuffing).
C'est pourquoi les experts n'exigent plus une chaîne de caractères aléatoires, mais conseillent plutôt d'utiliser des phrases faciles à mémoriser. Ces phrases de passe doivent toujours contenir des chiffres et des caractères spéciaux, y compris des émojis, afin d'empêcher les machines de les deviner facilement. Les clés d'accès sont également une alternative intéressante, car elles utilisent le chiffrement pour une meilleure protection.
4. Envisager la gestion des accès privilégiés
La gestion des accès privilégiés (PAM) empêche les attaquants d'accéder aux comptes à privilégies, tels que ceux des responsables, des auditeurs et des administrateurs, qui ont accès à des données sensibles.
Pour empêcher la compromission de ces comptes précieux, il convient de mettre en place des couches de protection supplémentaires : accès limité dans le temps aux ressources critiques, surveillance des sessions à privilégies et politiques de mot de passe plus strictes, pour n'en citer que quelques-unes .
Les fournisseurs et les partenaires constituent une voie d'accès à votre système par le biais d'une attaque de la chaîne d'approvisionnement. C'est pourquoi il est judicieux d'établir des exigences de sécurité strictes à leur égard. Vous pouvez également procéder à des détections de fuites de données par des tiers ou à une évaluation de la sécurité afin de détecter les fuites de données et les failles de sécurité avant que les pirates n'aient la possibilité de les exploiter.
5. Appliquer les derniers correctifs
Dans le cadre de l'attaque de la chaîne d'approvisionnement 3CX, les acteurs de la menace ont exploité une vulnérabilité dans une fonction de vérification des signatures dans Windows que Microsoft a corrigée en 2013.
Toutefois, ce cas est particulier car la correction est facultative, probablement parce que l'application de la correction signifie que Windows ne vérifie plus les signatures des fichiers non conformes. Cela laisse aux pirates une grande marge de manœuvre car, pour trojaniser l'application 3CX, les attaquants ont inséré un code malveillant dans deux DLL.
La correction des vulnérabilités par les fournisseurs est essentielle pour prévenir les menaces. Il convient donc, dans la mesure du possible, d'obtenir les derniers correctifs de sécurité et les dernières mises à jour des applications et des systèmes d'exploitation dès qu'ils sont disponibles.
6. Adoptez des règles de sécurité élevées
Commencez par utiliser un logiciel anti-malware approprié. Les principales solutions de cybersécurité offrent une protection multicouche capable de reconnaître les menaces connues avant leur téléchargement ou leur exécution.
Lorsque des logiciels malveillants ont déjà infecté un appareil, votre protection doit détecter les logiciels malveillants qui tentent d'effacer ou de chiffrer des fichiers, tels que les wipers ou les ransomwares, et y répondre.
N'oubliez pas de vérifier si vous disposez de la dernière version de votre protection.
L'étape suivante consiste à réduire votre surface d'attaque. Comme l'a montré l'attaque de 3CX, les vulnérabilités ne concernent pas uniquement les logiciels : une erreur humaine peut tout aussi bien avoir des conséquences dévastatrices.
Les entreprises doivent également préparer des plans en cas d'incident. Ces plans comprennent généralement la préparation, la détection, la réponse, la récupération et l'analyse post-incident. De même, n'oubliez pas de sauvegarder en permanence vos fichiers afin d'assurer la continuité de vos activités en cas d'interruption.
Conclusion : la (cyber)sécurité concerne autant les êtres humains que les logiciels
L'attaque de 3CX a montré à quel point les attaques de la chaîne d'approvisionnement peuvent être insidieuses, mais le point le plus important qu'elle a mis en évidence est qu'il suffit d'une erreur humaine pour que tout le château de cartes s'écroule.
Nous espérons qu'après avoir lu ce blog, vous comprendrez mieux comment vous préparer contre les menaces provenant des éditeurs de logiciels et des fournisseurs. Bien que l'erreur humaine soit une réalité, un bon dispositif de cybersécurité peut au moins atténuer la plupart des craintes liées à la cybercriminalité.