Een hack komt vaak van een onverwachte bron op een willekeurig moment. Daarom moet je je erop voorbereiden en weten welke stappen je moet nemen.
Eind maart 2023 werd 3CX, een ontwikkelaar van VoIP-telefoniesoftware, getroffen door een aanval op de toeleveringsketen. De officiële desktopclient verspreidde malware omdat de gebruikte bibliotheken gehackt waren. Geïnfecteerde werkstations van gebruikers van de 3CX VoIP-client waren het gevolg. Hoe kon deze hack gebeuren en hoe kon SecurityHive zijn klanten ertegen beschermen zonder extra maatregelen te nemen?
Wat is een aanval op de toeleveringsketen?
Elke organisatie is afhankelijk van andere partijen. Dit kunnen leveranciers zijn van wie u een dienst of product afneemt en klanten die diensten of goederen van u kopen. Er ontstaat een keten waarin partijen van elkaar afhankelijk zijn.
Wanneer zich bij een van de partijen in de keten een probleem voordoet en deze zijn functie niet meer kan vervullen, is de ketting verbroken. Het gewenste proces is niet meer te volgen. Een eenvoudig voorbeeld hiervan is de „cheese hack” in 2021. Een logistiek bedrijf werd gehackt en kon zijn routes niet meer (efficiënt) rijden, met als gevolg een tekort aan kaas in supermarkten. De supermarkt werd niet gehackt maar was het slachtoffer geworden van deze aanval.
3CX werd het slachtoffer van een soortgelijke aanval. Ze zijn in eerste instantie niet gehackt, maar ondervonden wel de gevolgen. Bij een supply chain-aanval kan een organisatie verschillende rollen vervullen. Het kan het doelwit zijn van de aanval, maar het kan ook een medium zijn om het virus te verspreiden en anderen te bereiken en te hacken.
Hoe manifesteerde dit zich in 3CX?
Hoe werkt 3CX?
3CX is een bekende VoIP-telefonieoplossing met meer dan 600.000 klanten wereldwijd, waaronder Coca-Cola, McDonald's, BMW en IKEA. Deze oplossing maakt telefoonverkeer mogelijk en beheert dit op intelligente wijze met een callcenter. Waarschijnlijk gebruikt u uw telefoontoestel om anderen te bellen via 3CX of een vergelijkbare oplossing.
Naast een fysiek telefoonapparaat heeft 3CX een mobiele applicatie, een werkstationtoepassing (Windows/MacOS) en een webapplicatie voor uw browser.
Hoe is de software gebouwd?
Bij deze hack is de desktopapplicatie voor zowel Windows als MacOS geïnfecteerd. Bij de ontwikkeling van software worden vaak open-source bibliotheken gebruikt. Dit zijn stukjes code die kunnen worden hergebruikt en onderhouden door partijen en vrijwilligers. Het voordeel hiervan is dat niet iedereen dezelfde code opnieuw hoeft te bedenken en te onderhouden, maar het zorgt ook voor transparantie bij het bouwen van software.
3CX maakt ook gebruik van verschillende bibliotheken in zijn software. Een van deze bibliotheken is gehackt en gecompileerd in de 3CX-desktoptoepassing. Toen deze versie werd gedownload of gepusht, werd de geïnfecteerde software geïnstalleerd.
Infectie op het werkstation
Toen de geïnfecteerde update werd gestart, werd een geïnfecteerde DLL gebruikt om pictogrammen te downloaden die werden gehost in een GitHub-project. Deze pictogrammen bevatten base64-gecodeerde waarden. Deze waarden werden gebruikt om de uiteindelijke malware te downloaden, die systeeminformatie en -informatie (inloggegevens) kon extraheren uit browsers zoals Chrome, Edge, Brave en Firefox.
Hoe heeft SecurityHive verdere infecties voorkomen?
Flow DNS-aanroepen
Bij het downloaden van de malware is contact gemaakt met verschillende domeinnamen waar de malware werd gehost. Enkele van deze domeinnamen zijn: akamaicontainer [.] com, azureonlinecloud [.] com en msstorageazure [.] com. Deze domeinnamen zijn ontworpen om niet op te vallen tussen het andere verkeer en proberen vertrouwen te wekken door de namen Akamai, Azure en MS (Microsoft) te gebruiken.
Contact voorkomen en beveiligen
DNS is een essentieel onderdeel van het internet. Via DNS kunnen we verbinding maken met servers zonder het IP-adres van elk apparaat te onthouden. Met DNS kunnen we ook snel een server met een ander IP-adres aan dezelfde naam koppelen.
Bij deze aanval werd DNS gebruikt om malware te downloaden, vertrouwen te creëren en nieuwe servers toe te voegen zonder de code te wijzigen.
SecurityHive heeft een oplossing genaamd DNS Guard. Met deze DNS Security-oplossing wordt al het DNS-verkeer gemonitord en gefilterd, zowel op kantoor als voor werknemers die thuis of onderweg werken. Tijdens deze 3CX-aanval kon DNS Guard geïnfecteerde systemen vrijwel onmiddellijk beveiligen door DNS-verkeer naar de betrokken domeinnamen te blokkeren. Hierdoor kon de uiteindelijke malware niet worden gedownload en kon er geen communicatie plaatsvinden met het commando- en controlesysteem van de aanvaller.
Nadat het verkeer was geblokkeerd, werd contact opgenomen met alle klanten die periodiek hun omgeving hadden gescand op kwetsbaarheden met Vulnerability Management als ze een geïnfecteerde versie van 3CX gebruikten. Hierdoor konden ze zelf de oorzaak wegnemen.
Uitleg van de feed met informatie over bedreigingen
De SecurityHive DNS Security-oplossing omvat verschillende vormen van bescherming. Naast het blokkeren van categorieën zoals ransomware, reclame, tracking en pornografie, bevat het ook een Threat Intelligence-feed.
Deze feed ontvangt realtime updates over bedreigingen op het internet. De feed is gekoppeld aan verschillende bronnen en kan snel reageren op nieuwe ontwikkelingen in het cyberdomein. Hierdoor kon SecurityHive zijn klanten snel beveiligen, zelfs voordat een systeembeheerder actie kon ondernemen.
Aan de slag gaan met een DNS-beveiligingsoplossing is eenvoudig en kan zelfs zonder installatie worden uitgevoerd. Lees meer over DNS Guard en probeer het uit door hieronder te klikken.
