De recente supply chain-aanval op de 3CX-communicatiesoftware markeert een historisch incident waarbij één aanval leidde tot een tweede, met gevolgen voor kritieke infrastructuurorganisaties en financiële instellingen. Supply chain-aanvallen streven ernaar beveiligingsmaatregelen te omzeilen via vertrouwde externe leveranciers. In dit artikel onderzoeken we de details van deze aanval en de belangrijke lessen die we kunnen trekken op het gebied van cybersecurity.
Het kettingreactie-effect van een supply chain-aanval
De inbreuk op de 3CX-communicatiesoftware markeert een historisch incident: het eerste publiekelijk gedocumenteerde voorval waarbij één supply chain-aanval resulteerde in een tweede. Dit incident trof twee kritieke infrastructuurorganisaties in de energiesector en twee financiële instellingen. Een supply chain-aanval probeert beveiligingsmaatregelen te omzeilen, door het systeem van een doelwit binnen te dringen via software-updates van een vertrouwde externe leverancier.
De aanval tegen 3CX begon met een besmette versie van de niet-ondersteunde financiële software X_TRADER. Hiermee werden het bedrijf, de software en de klanten geïnfiltreerd. ESET-telemetriegegevens suggereren dat honderden kwaadaardige 3CX-toepassingen door klanten werden gebruikt. Nadat de X_TRADER-software met een besmette Dynamic Link Library (DLL) was geïnstalleerd, verzamelde de DDL gegevens, inclusief browserreferenties, en stelde deze aanvallers in staat commando’s uit te voeren op het geïnfecteerde apparaat. Deze ongekende toegang werd ook gebruikt om 3CX-software te besmetten en malware te leveren voor het stelen van informatie bij zakelijke klanten. Tijdens het onderzoek naar Operation DreamJob gericht op Linux-gebruikers, ontdekten ESET-onderzoekers banden met de Lazarus-groep, een Noord-Koreaanse dreigingsactor.
Hoe heeft de malware zich verspreid?
De malware-verspreiding begon met de X_TRADER, een professioneel financieel handelsinstrument ontwikkeld door Trading Technologies. Hoewel het bedrijf in april 2023 de ondersteuning voor deze software stopzette, bleef deze nog steeds beschikbaar om te downloaden. In datzelfde jaar werd de website van de leverancier besmet, waardoor een schadelijke download werd aangeboden. Het lijkt erop dat Lazarus in 2022 toegang kreeg tot Trading Technologies.
Ondanks de herhaalde berichten van Trading Technologies aan hun klanten, over een periode van 18 maanden waarin ze werden geïnformeerd dat de ondersteuning voor X_TRADER na april 2020 zou stoppen, bleven mensen de software, die nu gevaarlijk was geworden, downloaden. Het bedrijf benadrukte dat er geen geldige reden was om de software te downloaden, aangezien de ondersteuning ervoor was beëindigd. Tussen 1 november 2021 en 26 juli 2022 hebben echter minder dan 100 personen het besmette X_TRADER-pakket gedownload, maar zelfs dit kleine aantal had een aanzienlijke impact.
Eén van de personen die de besmette software downloadde, was een medewerker van 3CX, die deze op zijn persoonlijke computer installeerde. De software bevatte de malware Win32/NukeSped.MO (ook bekend als VEILEDSIGNAL), gedetecteerd door ESET. Nadat de persoonlijke computer van de medewerker was besmet met VEILEDSIGNAL-malware, wist de dreigingsactor volgens Mandiant bedrijfsgegevens van 3CX te stelen. VEILEDSIGNAL is een krachtige malware die de aanvaller toegang op beheerdersniveau en blijvende toegang tot het geïnfecteerd systeem verschafte, aldus 3CX Chief Network Officer Agathocles Prodromou op in het blog van het bedrijf.
Wat kunnen we leren van de 3CX-hack?
1. Gebruik geverifieerde en up-to-date software van een betrouwbare bron
Zoals hierboven aangegeven begon de hele situatie toen een medewerker een softwaretoepassing downloadde die al sinds april 2020 geen ondersteuning meer kreeg. Dit herinnert ons aan het belang van het gebruik van geverifieerde en up-to-date software, omdat niet-ondersteunde software gemakkelijk kan worden misbruikt.
Wanneer je software downloadt, is het verstandig om de hashwaarde van het gedownloade bestand te vergelijken met die van de leverancier. Een hashwaarde wordt gebruikt om gegevens om te zetten in een vaste lengte van bytes, meestal een reeks cijfers en letters. Veel leveranciers publiceren deze hashwaarde naast de downloadlinks, of je kunt rechtstreeks contact met hen opnemen om de juiste hashwaarde te verkrijgen. Als de hashwaarden niet overeenkomen, moet je voorzichtig zijn en de software niet downloaden.
Zorg er daarnaast voor dat je software alleen downloadt van erkende en legitieme websites, aangezien fraudeurs nepwebsites kunnen maken die lijken op de originele. Als je twijfelt over de legitimiteit van een hashwaarde of een website, kun je gebruikmaken van VirusTotal. Dit gratis hulpmiddel werkt als een zoekmachine en analyseert items met behulp van meer dan 70 antivirusprogramma’s en URL/domeinblokkeringsdiensten. Het kan bestanden, domeinen, IP-adressen en URL’s onderzoeken om te zien of een antivirus programma het ingediende bestand als schadelijk heeft gemarkeerd. Daarnaast voert het monsters uit in verschillende geïsoleerde omgevingen voor verdere analyse.
2. Maak jouw werknemers minder kwetsbaar
Na een aanval waarbij schadelijke software op de computer van een 3CX-medewerker werd geïnstalleerd, kon de dreiging zich verspreiden. Dit leidde tot het compromitteren van de werknemersgegevens en de infiltratie van het gehele 3CX-bedrijfssysteem.
De meest effectieve manier om dergelijke incidenten te voorkomen, is door gebruik te maken van encryptie en multi-factor authenticatie om ongeautoriseerde toegang tot bedrijfssystemen te voorkomen.
Tevens is het van groot belang om toegangsrechten zorgvuldig te beheren. Niet alle werknemers hoeven hetzelfde niveau van toegangsrechten te hebben binnen alle bedrijfsomgevingen. Hoewel beheerders en software engineers mogelijk bredere toegang nodig hebben, dienen hun rechten wel te variëren afhankelijk van hun verantwoordelijkheden.
Verder is het cruciaal om gevoelige gegevens weg te houden van de apparaten van werknemers en deze uitsluitend via een veilig Cloud platform te delen. Dit platform moet extra beschermd worden door middel van verbeterde Cloud- en serverbeveiligingsmaatregelen.
3. Volg een sterk wachtwoordbeleid
Een sterk wachtwoordbeleid kan aanzienlijk bijdragen aan het beveiligen van jouw systemen, maar het is niet nodig om voortdurend wachtwoordwijzigingen en strenge eisen voor complexe wachtwoorden door te voeren. De huidige aanpak richt zich op het vervangen van standaard wachtwoorden door wachtzinnen, die veiliger en moeilijker te raden zijn dan traditionele wachtwoorden.
In het verleden werd een sterk wachtwoord beschouwd als een combinatie van minstens acht tekens, met hoofdletters, kleine letters, minstens één cijfer en een speciaal teken. Dit bracht echter problemen met zich mee, omdat het onthouden van talloze complexe wachtwoorden voor verschillende websites en apparaten lastig was. Hierdoor waren mensen geneigd om dezelfde wachtwoorden op meerdere plaatsen te hergebruiken, waardoor ze kwetsbaar werden voor brute-force aanvallen en credential stuffing. Dit zijn beide vormen van aanvallen op online accounts en wachtwoorden.
Daarom raden experts nu aan om zinnen te gebruiken die gemakkelijk te onthouden zijn, maar nog steeds cijfers, speciale tekens, en zelfs emoji's bevatten om te voorkomen dat computers ze gemakkelijk kunnen raden. Een alternatieve benadering is het gebruik van passkeys, die encryptie gebruiken voor extra bescherming.
4. Overweeg Privileged Access Management (PAM)
Privileged Access Management (PAM) is een essentieel instrument om te voorkomen dat kwaadwillenden toegang krijgen tot belangrijke bedrijfsaccounts, zoals die van managers, auditors en beheerders, die toegang hebben tot gevoelige gegevens.
Om deze waardevolle accounts te beschermen, zijn extra beveiligingslagen nodig. Denk hierbij aan het instellen van just-in-time toegang tot cruciale bronnen, het monitoren van geprivilegieerde sessies en het implementeren van striktere wachtwoordbeleidsrichtlijnen, om er slechts een paar te noemen.
Het is belangrijk op te merken dat leveranciers en partners vaak een weg kunnen bieden voor aanvallen, bijvoorbeeld via supply chain-aanvallen. Het is dan ook verstandig om strenge beveiligingseisen op te stellen voor deze externe partijen. Je kunt tevens overwegen om derden in te schakelen voor datalekdetectie of een uitgebreide beveiligingsbeoordeling uit te voeren om potentiële datalekken en beveiligingszwaktes te identificeren voordat kwaadwillenden de kans krijgen om hier misbruik van te maken.
5. Pas de nieuwste patches toe
In het geval van de 3CX-aanval maakten de aanvallers gebruik van een kwetsbaarheid in een verificatiefunctie voor digitale handtekeningen in Windows. Het is belangrijk op te merken dat Microsoft deze kwetsbaarheid al in 2013 had verholpen.
Wat deze zaak echter bijzonder maakt, is dat de oplossing optioneel is. Dit komt waarschijnlijk doordat er zorgen bestaan dat het toepassen van de oplossing betekent dat Windows niet langer de handtekeningen van niet-conforme bestanden zal verifiëren. Dit opent een deur voor hackers om aanvallen uit te voeren. In het geval van de 3CX-app hebben de aanvallers kwaadaardige code in twee DLL-bestanden geplaatst die door de app werden gebruikt. Ze hebben dit zo gedaan dat kwetsbare Windows-systemen nog steeds de handtekeningen zouden blijven verifiëren.
Het is van cruciaal belang om kwetsbaarheden aan te pakken door de nieuwste patches en updates van leveranciers toe te passen. Zorg ervoor dat je snel reageert op beschikbare beveiligingspatches en updates voor apps en besturingssystemen om dreigingen te minimaliseren.
6. Stel hoge eisen aan jouw beveiliging
Begin met de juiste anti-malwaresoftware. Top cyberbeveiligingsoplossingen bieden gelaagde bescherming die bekende dreigingen kan identificeren, voordat ze gedownload of geactiveerd worden.
In situaties waarin malware al toegang heeft gekregen tot een apparaat, moet jouw beveiligingssysteem de malware detecteren en reageren door pogingen tot bestandsvernietiging of versleuteling tegen te gaan, zoals wipers of ransomware.
Vergeet niet om regelmatig te controleren of je de meest recente versie van jouw endpoint beveiligingssoftware gebruikt.
Een volgende belangrijke stap is het minimaliseren van jouw aanvalsoppervlak. Zoals de 3CX-aanval aantoont, zijn kwetsbaarheden niet alleen beperkt tot software - een eenvoudige menselijke fout kan even destructief zijn.
Bedrijven dienen ook incidentbeveiligingsplannen op te stellen. Deze omvatten typische stappen voor voorbereiding, detectie, reactie, herstel en post-incident analyse. Vergeet daarbij niet om regelmatig back-ups te maken van jouw gegevens, zodat bedrijfscontinuïteit gewaarborgd blijft in geval van een storing.
Geleerde les: Cybersecurity gaat net zo goed over mensen als over software
De les die we hieruit kunnen trekken, is glashelder: de 3CX-aanval heeft aangetoond hoe verraderlijk aanvallen via de toeleveringsketen kunnen zijn. Maar het meest cruciale inzicht dat naar voren kwam, is dat één enkele menselijke fout alles kan ontwrichten. Na het lezen van dit artikel hopen we dat je beter begrijpt hoe je jezelf kunt wapenen tegen dreigingen.
Hoewel menselijke fouten onvermijdelijk zijn, kan een sterke cybersecurity mentaliteit de impact van de meeste cyberdreigingen op zijn minst verminderen.