13.04.2023 19:13

3CX - Operation erfolgreich, Patient ignoriert

3CX hat nun erste Informationen veröffentlicht, welche durch Mandiant im Rahmen einer forensischen Untersuchung der Systeme des Unternehmens gefunden wurden. Diese Informationen unterstützen Aussagen in Berichten von anderen Sicherheitsunternehmen (wie beispielsweise Kaspersky), die den Angriff gegen 3CX beziehungsweise den dafür verantwortlichen Bedrohungsakteur staatlichen Stellen in Nordkorea zurechnen.

Inzwischen gibt es auch eine vergleichsweise brauchbare Liste an Artefakten und technischen Indikatoren, mithilfe derer sich eine Infektion im eigenen Netzwerk relativ zuverlässig erkennen lässt. Links zu dem Gros dieser Indikatoren finden sich in unserer letzten Veröffentlichung zum Thema 3CX.

Nach anscheinender anfänglicher Schockstarre hat das Unternehmen auch seine Krisenkommunikation inzwischen halbwegs im Griff, neben "offiziellen" Pressemeldungen hat sich auch der Geschäftsführer von 3CX bereits mehrfach persönlich zu der Causa zur Sache gemeldet. Dies unter anderem in einem Posting im firmeneigenen Forum. Folgender Teil dieses Beitrages sticht dabei hervor:

We only have a handful of cases reported to us where malware has actually been triggered. And these reports still require verification. Furthermore after removal of the infected files using anti virus software no further malicious outbound traffic has been observed. Of course this may change but this is the status as of today.

Mal ganz abgesehen davon, dass diese Aussage im Widerspruch zu dem steht, was in weiterer Folge von Kund:innen in eben jenem Forenthread berichtet wird, und auch elegant ausblendet, dass die kompromittierte Version der 3CX Desktop-App per Definition auch Malware ist - hier wird ein ganz wesentlicher Punkt ignoriert. Ein Punkt, den auch Teile der Security-Community zu ignorieren scheinen.

Ja, nach allem was wir bisher wissen handelt es sich bei den Angreifer:innen tatsächlich um einen staatlichen Bedrohungsakteur dem es zumindest aktuell nicht darum gehen dürfte, weitreichend zerstörerische Schadsoftware auszurollen - auch wenn nordkoreanische Angreifer:innen in der Vergangenheit auch destruktiv unterwegs waren, so waren in den letzten Jahren Spionage und der Diebstahl von Kryptowährungen doch eher im Fokus der Aktivitäten.

Und ja, eben jene Theorie, dass die Angreifer:innen als aktuelles Primärziel das Eindringen in einen Finanzdienstleister, einen Exchange oder ein sonstiges Unternehmen im Finanzbereich hatten ist absolut plausibel. Das heisst aber noch lange nicht, dass dies das einzige Ziel ist oder war, dieser durch die Kompromittierung von 3CX erstandene weitreichende Zugriff kann durch den Bedrohungsakteur vielfältig genutzt werden. Es wäre fast schon nachlässig verschwenderisch, aus Sicht der Angreifer:innen, wenn diese das nicht auch entsprechend tun würden.

Selbst wenn das Unternehmen ein vermeintlich "sauberes" Update nachgeliefert hat, und Mandiant anscheinend mit Hochdruck dabei ist, forensische Untersuchungen durchzuführen, ist es in meinen Augen beinahe fahrlässig, diesen Sicherheitsvorfall als beendet anzusehen und zur digitalen Tagesordnung zurückzukehren. Insbesondere in Anbetracht der Tatsache, dass bisherige technische Analysen (wie beispielsweise die sehr empfehlenswerte der kompromittierten macOS-Variante der 3CX Desktop App) deutliche Hinweise darauf liefern, dass eben jene vielfältige Nutzung zumindest in der Theorie angedacht war oder ist:

That’s up to say, the [supply-chain] attacker gets thousands of victims, collects everything they need for future compromises, profiles their haul, and decides how to maximize that access.

Wir haben in unserer Rolle als nationales CERT von Partnerorganisationen Informationen über ungefähre Infektionszahlen bekommen. Diese Zahlen dürfen wir leider nicht veröffentlichen, und sie beziehen sich auch nicht speziell auf Österreich, sondern auf weltweite Infektionen, ohne detailliertere Aufschlüsselungen zu beinhalten. Aber, um irgendwo den Spagat zwischen Wahrung der Informationsklassifikation und dem Wunsch nach der Weitergabe relevanter Informationen zu bewerkstelligen, es ist eine Zahl, die deutlich über dem Eurobeitrag liegt, den mir mein Arbeitgeber am Ende jeden Monats auf mein Konto überweist.

Daher die eindringliche Bitte: Auch wenn es verlockend ist, weil wir allesamt genug zu tun haben, wenn die 3CX Desktop App in Ihrem Unternehmen im Einsatz ist, oder innerhalb der letzten Monate im Einsatz war, überprüfen Sie Ihre Risikoabschätzung, versuchen Sie sicher zu stellen, dass Sie nicht von einer Infektion betroffen waren, oder zumindest von Seiten der Angreifer:innen keine weiteren missbräuchlichen Schritte gesetzt wurden. Ja, das ist eine Investition von Zeit und Arbeitskraft - aus eigener Erfahrung weiss ich aber, dass die Aufarbeitung einer mehrere Monate lang unentdeckt gebliebenen Kompromittierung deutlich mehr kostet. In jeder Hinsicht.


Und ganz allgemein auch noch der Appell: Wenn Ihr Unternehmen bei solchen Vorfällen Opfer wird, oder der Verdacht besteht, dass es zu einer Infektion oder Kompromittierung gekommen ist, bitte sprechen Sie mit uns - in vielen Fällen haben wir die Möglichkeit, ihre Incident Response zumindest mit technischen Detailinformationen zu unterstützen. Und selbst in Situationen wo uns dies nicht möglich ist erlaubt uns das Wissen über den Vorfall eine bessere Abschätzung der aktuellen Situation in Österreich. Sie wissen schon, dieses medial gerne ausgeschlachtete "Cyberlagebild".

Verfasst von: Alexander Riepl