« Mieux vaut être dans le trou que dans la chaîne », mais en matière de cybersécurité, la chaîne d’approvisionnement peut s’avérer problématique. C’est ce que plusieurs entreprises de sécurité informatique essaient d’expliquer avec la récente découverte d’une attaque active de la chaîne d’approvisionnement, qui cible en particulier les clients des logiciels de téléphonie et de vidéoconférence 3CX.
3CX est un système téléphonique logiciel utilisé par plus de 600 000 organisations à travers le monde, dont American Express, BMW, McDonald’s et le National Health Service du Royaume-Uni, avec plus de 12 millions d’utilisateurs quotidiens. Or, des chercheurs de CrowdStrike, Sophos et SentinelOne ont découvert une attaque de type SolarWinds, surnommée « Smooth Operator » par SentinelOne, qui consiste à déployer des installateurs de 3CXDesktopApp contaminés pour installer des malwares d’infostealer (vol d’information) au sein des réseaux d’entreprise.
Une attaque de la chaîne d’approvisionnement en cours exploite les logiciels 3CX pour voler des informations et compromettre les réseaux d’entreprise.
Les malwares en question sont capables de collecter des informations sur les systèmes et de dérober des données et des identifiants stockés sur les profils d’utilisateurs de Google Chrome, Microsoft Edge, Brave et Firefox. Les chercheurs ont également observé des signes d’activité malveillante tels que des envois réguliers d’informations à des infrastructures contrôlées par les attaquants, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une activité manuelle des attaquants sur les claviers des victimes.
Is there a YouTube embed iframe code
Les versions Windows et macOS de l’application VoIP compromise sont visées, tandis que les versions Linux, iOS et Android semblent ne pas être affectées pour l’instant. SentinelOne a détecté les premiers signes d’activité malveillante le 22 mars et a lancé une investigation, qui a mis en lumière la tentative d’installation d’une version malveillante de l’application 3CX signée avec un certificat numérique valide. L’expert en sécurité Apple, Patrick Wardle, a également découvert qu’Apple avait approuvé le malware, c’est-à-dire que la société l’avait vérifié sans détecter de logiciel malveillant.
Le CISO de 3CX, Pierre Jourdan, a confirmé jeudi dernier que la société était au courant d’un « problème de sécurité » affectant ses applications Windows et MacBook. Les chercheurs estiment qu’il pourrait s’agir d’une attaque ciblée menée par une menace persistante avancée, voire sponsorisée par un État. CrowdStrike suggère que le groupe nord-coréen Labyrinth Chollima, un sous-groupe du célèbre Lazarus Group, serait derrière cette attaque.
En attendant, 3CX recommande à ses clients de désinstaller l’application et de la réinstaller, ou d’utiliser son client PWA. « Nous nous excusons sincèrement pour ce qui s’est passé et nous ferons tout notre possible pour réparer cette erreur », a déclaré Jourdan. Il est encore trop tôt pour dire combien d’organisations ont potentiellement été compromises, mais on compte actuellement plus de 240 000 systèmes de gestion téléphonique 3CX exposés publiquement selon Shodan.io.
Source : Techcrunch