Auch mehrere Tage nachdem der Supply-Chain-Angriff auf 3CX bekannt wurde, bleiben viele Fragen offen. Das ist in so einem Fall nicht ungewöhnlich. Der Anbieter hat sich jedenfalls bemüht, das Problem in den Griff zu bekommen. Wie CEO Nick Galea in einem Blog-Beitrag am 1. April erklärte, habe das Unternehmen unmittelbar, nachdem es von der Attacke erfahren hat, die Spezialisten von Mandiant an Bord geholt, um den Vorfall zu untersuchen.
Die hätten zunächst festgestellt, dass der Angriff von einem "sehr erfahrenen und sachkundigen Angreifer" ausgeführt wurde. Außerdem habe 3CX unmittelbar Strafverfolgungsbehörden und andere Behörden informiert und in die Untersuchung involviert.
Was 3CX Partnern und Kunden empfiehlt
3CX vertreibt seine Produkte vollständig über Partner. In Deutschland arbeitet der Anbieter dazu seit 2013 mit dem VAD ADN, der als einziger "Platinum Distributor" eine besondere Rolle einnimmt, zusammen; 2016 kam Api als Distributor dazu. Die 2015 vereinbarten Distributionsvereinbarungen mit Komsa und Michael Telecom wurden inzwischen wieder aufgelöst.
Partnern empfiehlt 3CX, bei ihren Kunden - falls vorhanden - die Windows-Desktop-App "3CX Electron" sofort zu deinstallieren und als Übergangslösung am besten die webbasierende Anwendung PWA oder eine ältere Windows-App von 3CX zu nutzen.
Außerdem sollten sie besonderen Wert auf Antiviren-Scans legen. Die meisten Hersteller haben die infizierte 3CX-Datei inzwischen in ihre Datenbank aufgenommen. Zusätzlich empfiehlt 3CX den Einsatz einer EDR-Lösung um potenzieller Malware im Netzwerk auf die Schliche zu kommen. Eine übersichtliche Liste mit den "Indicators of compromise" hat SentinelOne bereitgestellt.
Das BSI hat dem Vorfall die Bedrohungsstufe "3 Hoch" zugeordnet. In seiner Empfehlung (PDF) begründet es das so: "Unter anderem wurde beobachtet, dass die Anwendung nach erfolgreicher Installation eine Verbindung zu einem Command and Control-Server (C&CServer) aufbaut und weitere Schadsoftware nachlädt. Hieraus folgte zum Beispiel die Installation einer Shell bei den Opfern, mit deren Hilfe die Täter weitere Befehle absetzen können."
Angreifer haben womöglich noch weitere Pfeile im Köcher
Der Vorfall könnte erhebliche Folgen für 3CX haben. Zum Beispiel hat Christopher Budd, Senior Manager of Threat Research bei Sophos, ein Vertreter der IT-Security-Anbieter, die früh vor der infizierten Software gewarnt hatten, gegenüber US-Medien Anwendern empfohlen, eine neue Risikobewertung des Lieferanten vorzunehmen.
Der Vorfall habe zum einen ernsthafte Problem in der Cybersecurity-Strategie des Anbieters offenbart. Zum anderen sei es auch unklar, ob Angreifer nicht weiterhin Zugriff auf die Software Supply Chain von 3CX haben und dadurch Updates künftig nicht noch einmal infizieren könnten. Allerdings rät Budd auch zu einer ähnlichen Analyse, falls sich jemand für einen Anbieterwechsel entscheiden sollte. Schließlich arbeiten andere Anbieter ähnlich wie 3CX und sind damit grundsätzlich nicht vor einer vergleichbaren Attacke gefeit.
John Hammond, leitender Sicherheitsforscher bei Huntress, einem Anbieter einer Managed-Security-Plattform, teilt die Bedenken von Sophos-Experte Budd: "Es ist noch nicht klar, ob Angreifer noch Zugriff auf die 3CX-Lieferkette haben, um zukünftige Updates zu vergiften", erklärte Hammond unmittelbar nach Bekanntwerden des Sicherheitsproblems.
Eigenen Angaben zufolge hat 3CX weltweit 600.000 Kunden mit über zwölf Millionen Nutzern. Darungter finden sich FIrmen wie Mercedes Benz, Ikea, Coca-Cola, Honda, BMW, McDonald´s sowie das Deutsche Rote Kreuz und die Caritas. Viele 3CX-Kunden haben ihre Telefonanlage offenbar nicht ausreichend geschützt: Hammond verweist auf eine Suche mit Shodan, die mehr als 242.000 ungeschützte Phone Management Systeme von 3CX ergeben habe. Obwohl nicht nachgewiesen ist, wer hinter der Attacke steckt, liegen laut Hammond Hinweise vor, dass es eine staatlich unterstützte Stelle aus Nordkorea sei. Darauf deutet einer der verwendeten Schlüssel ("static key") hin.
3CX räumt eigene Fehler ein - ist aber nicht allein
In einem Interview mit der Webseite Cyberscoop erklärt 3CX-CEO Nick Galea, dass sein Unternehmen bereits vor dem Angriff umfangreiche Sicherheitsvorkehrungen getroffen habe. Dazu zählt er ein eigenes Security Team, Pentesting, Software Scanner und der Posten des CSO (Chief Security Officer). Galea räumt aber auch Fehler ein. So habe das Unternehmen etwa, als seine Software als Malware eingestuft wurde, nicht direkt ausreichend reagiert.
"Aufgrund der Funktionsweise von VOIP-Apps wäre es nicht das erste Mal. Es passiert ziemlich häufig - also muss ich ehrlich sagen, dass wir es nicht so ernst genommen haben", erklärte Galea gegenüber Cyberscoop. Das änderte sich jedoch, als Crowdstrike den Vorfall mit der berüchtigten, nordkoreanischen Lazarus-Gruppe in Verbindung brachte. Da hatten allerdings schon mehrere Hunderttausende Kunden das Update heruntergeladen. Erst nach der Warnung von Crowdstrike habe man die Bedeutung des Vorfalls richtig eingeschätzt.
Der im US-Bundesstaat Virginia ansässige Cybersecurity-Dienstleister Volexity schreibt zu dem Angriff auf 3CX, dass seinen Erkenntnissen nach die Angreifer eine gewisse Zeit Zugriff auf die Systeme von 3CX gehabt haben müssen. Nur so hätten sie ein Verständnis für den Entwicklungs- und Update-Prozess des Unternehmens entwickeln und den "passenden", bösartigen Code entwickeln können. Das würde bedeuten, dass die Sicherheitsmaßnahmen von 3CX nicht gegriffen haben oder nicht ausreichend waren.
Allerdings war offenbar nicht nur 3CX zu sorglos. Patrick Wardle, Gründer der Objective-See Foundation und Experte für MacOS-Malware, hat bei seiner Untersuchung festgestellt, dass das MacOS-Update nicht nur von den 3CX-Entwicklern als gültig signiert, sondern auch von Apple beglaubigt wurde. Das heißt, dass auch Apple bei seiner Malware-Prüdung des Updates nichts gefunden hat.
Laut Wardle, der auch Gründer des 2019 an Jamf verkauften Unternehmens Digita Security war, zeigt der Code, dass die MacOS-Malware Nutzer zur selben (inzwischen abgeschalteten) Domain wie Windows-Anwender leiten und dort weiteren Schadcode nachladen sollte. Da er aber keinen Zugriff auf diese Malware gehabt habe, könne er auch nicht sagen, was die dann bewirkt hätte.
Parallelen und Unterschiede zum Angriff auf SolarWinds
Der Angriff auf 3CX ähnelt in einigen wichtigen Aspekten dem auf SolarWinds im Jahr 2020. Es könnten daher bald auch noch Details über kompromittierte Endkunden von 3CX herauskommen. das nehmen zumindest Huntress-Experte Hammond und andere Beobachter an. Die gute Nachricht: Zwar hat 3CX viel mehr Kunden als damals SolarWinds hatte, der Angriff auf die Lieferkette von 3CX wurde jedoch viel schneller entdeckt.
Die MacOS-Version der 3CX-App wurde möglicherweise im Januar kompromittiert. Laut CEO Galea hat die aber nur ein paar tausend Benutzer. Die 3CX-Desktop-App für Windows scheint hingegen um den 8. März herum kompromittiert worden zu sein. Beim Angriff auf SolarWinds und dessen Kunden gehen Sicherheitsforscher dagegen davon aus, dass die Angreifer mindestens neun Monate lang unbemerkt bleiben konnten. Sie hatten also wesentlich mehr Zeit, sich über die IT-Infrastruktur und die Netzwerke der Angegriffenen zu informieren und dann entsprechende Angriffe vorzubereiten.
Channel Excellence Awards 2023 - UCC & IP-Telefonie, Quelle: Context