Det har gått en stund siden den mye omtalte Solarwinds-saken, og nå ser det ut til at vi har et nytt, massivt forsyningskjede-angrep på gang. Det skriver blant andre nettstedet TechCrunch.
En rekke sikkerhetsselskaper varsler nå om at en populær, internettbasert telefontjeneste fra selskapet 3CX er blitt kompromittert av ondsinnede aktører i den hensikt å spre skadevare.
Over 12 millioner brukere
3CX er tilbyderen av et VoIP-program (Voice Over Internet Protocol) som brukes til telefon- og videosamtaler over internett. Tjenesten har ifølge selskapet selv over 600.000 installasjoner på tvers av 190 land, inkludert Norge, med til sammen over 12 millioner daglige brukere.
Tjenesten er tilgjengelig på både Windows-, MacOS- og Linux-plattformene, i tillegg til IOS og Android. Det skal kun være MacOS- og Windows-versjonene som er rammet. Mange store bedrifter befinner seg blant brukerne – deriblant Toyota, BMW, Avis, Ikea, McDonalds og Coca-Cola.
I slutten av mars registrerte flere sikkerhetsselskaper ondsinnet aktivitet som stammet fra desktop-appen til 3CX, ifølge blant andre Crowdstrike. Den ondsinnede aktiviteten omfatter kommunikasjon med en kontrollserver og installasjoner av flere typer ondsinnet programvare på ofrenes systemer.
Den ondsinnede programvaren, som sikkerhetsselskapet SentinelOne har døpt «Smooth Operator», er blant annet i stand til å stjele informasjon fra infiserte systemer og lagrede data fra nettlesere som Google Chrome, Microsoft Edge, Brave og Firefox.
– Kan forårsake stor skade
Crowdstrike melder at de også har observert såkalt «hands on keyboard»-aktivitet, som innebærer at angriperne er i stand til å tukle med offerets maskin eller nettverk på en manuell, direkte måte. For eksempel kan angriperen manuelt hente ut data, kikke på filer eller installere andre programmer.
– På grunn av sin utbredte bruk og viktigheten i en organisasjons kommunikasjonssystem, kan trusselaktørene forårsake enorm skade (for eksempel ved å overvåke eller omdirigere både intern og ekstern kommunikasjon) på selskaper som bruker denne programvaren, skriver et annet sikkerhetsselskap, Trend Micro, i sin omtale.
3CX selv la ut en sikkerhetsmelding på sine egne hjemmesider torsdag kveld, hvor de bekreftet at 3CX Desktop App er infisert med ondsinnet programvare. Selskapet jobber med en oppdatering av den Electron-baserte appen, men trenger tid til kontrollere sikkerheten. Inntil videre anbefales brukere å benytte enten en webbasert utgave (PWA – Progressiv Web Application) eller den klassiske Windows-utgaven av appen.
Mer informasjon kan du finne i omtalene til Crowdstrike, Fortinet, Trend Micro, SentinelOne og Sophos.
