Symantec: aanval achter 3CX-hack raakte ook cruciale, Europese infrastructuur

De 3CX-cyberaanval heeft twee kritieke infrastructuurorganisaties geraakt in Europa en de VS. Dat ontdekte het Threat Hunter-team van Symantec na onderzoek. Het gaat om organisaties die actief zijn in de energiesector. Daarnaast zijn er ook twee organisaties in de financiële sector gekraakt.

Alle aanvallen zijn uitgevoerd met een gecompromitteerde versie van de financiële X_Trader-software. Indien slachtoffers de Setup.exe uitvoeren, kunnen de aanvallers, die volgens Symantec gelieerd zijn aan Noord-Korea, een modulair achterdeurtje installeren in de systemen van de gedupeerden. Daarmee kan de malware kwaadaardige shellcode uitvoeren of een communicatiemodule plaatsen in Chrome-, Firefox- en Edge-browsers, legt Symantec uit. Omdat de ontwikkelaar van de X_Trader-software de handel in futures, waaronder energiefutures, mogelijk maakt, verwacht Symantec dat de aanval een financieel motief heeft.

Het Threat Hunter-team noemt de inbreuk op de cruciale organisaties zorgwekkend, omdat door Noord-Korea gesteunde hackersgroepen bekendstaan om hun cyberspionage. Symantec sluit dus niet uit dat de gekraakte organisaties later verder uitgebuit worden.

Om welke twee kritieke infrastructuurorganisaties het precies gaat wordt niet genoemd. Een van de twee bevindt zich in de VS, en de andere in Europa. Beide zijn 'energieleveranciers die energie opwekken en leveren aan het net', verduidelijkt het team tegen Bleeping Computer. Omdat er naast 3CX dus al ten minste vier andere organisaties door de software zijn gehackt, noemt Symantec het zeer waarschijnlijk dat er ook nog andere partijen de dupe zijn. "De aanvallers achter deze breaches hebben duidelijk een succesvol sjabloon voor supplychainaanvallen en nieuwe, gelijkwaardige aanvallen kunnen daardoor niet worden uitgesloten."

Eind maart werd duidelijk dat aanvallers de desktopclient van 3CX misbruikten om malware te verspreiden via een supplychainaanval. De malware maakte het mogelijk gesprekken en voicemailberichten af te luisteren. 3CX is een VoIP-leverancier met klanten zoals McDonald's en Coca-Cola, maar ook de Britse gezondheidssector.

Door Kevin Krikhaar

Redacteur

23-04-2023 • 13:12

31

Submitter: TheVivaldi

Reacties (31)

31
31
17
0
0
7
Wijzig sortering
Heeft de industrie al standaarden om supply-chain-attacks in de kiem te smoren?
Ik vind dit een zeer goede vraag. Meer en meer zijn we frameworks beginnen gebruiken in software projecten. Van klein tot groot… Angular, React, Django, Laravel,… Maar de achterliggende dependencies verschillen enorm. Dat gaat tegenwoordig van enkele honderden lijnen in een lock file tot bijna 10.000 (!) in sommige projecten. In principe zou iedere dependency (na iedere upgrade / aanpassing) doorgelicht moeten worden, maar wie heeft daar nog de tijd voor?

Eén van de maatregels kan linting software zijn. Maar net zoals AV utilities kunnen zij enkel detecteren waarop ze getraind zijn / wat al in de database zit…

Het begint meer en meer een trust issue te worden denk ik? In principe zou alle code verifieerbaar moeten zijn, daar is denk ik nog werk aan. Maar de kans blijft hoe dan ook bestaan dat een “veilige bron” toch besmet kan raken. Zelfs al kan je de code verifiëren, ik denk dat er altijd manieren zullen zijn om malafide stukken code “goed te verstoppen” in bepaalde files / directories.

Hoe zien jullie dit?
Automatiseren. Het is te veel geworden voor mensen en de menselijke capaciteit.

Opkomende systemen, zoals ChatGPT, kunnen codes lezen, doorlichten en verbeteringen voorstellen. Ja er is nog veel meer werk in nodig om het echt te laten werken, maar het idee klopt wel.

Je moet dus een dergelijke bot de code laten doorlichten en alle functies laten testen op doel en daadwerkelijke uitvoering.

Ook zou een bot gemakkelijk repositories moeten kunnen doorlichten op onnodig toegevoegde (malafide) code om later extra, door een devv, te reviewen op ellende.
Als de aanvaller dezelfde bot ook kan gebruiken, kan de code net zo lang worden getweaked totdat de malafide code niet herkend wordt...
Natuurlijk kan dat, maar het is een heel los product dus dat maakt het al een berg moeilijker.

Je kan ook malafide mensen aannemen. Je kan niet niks doen toch?
Natuurlijk stond zelfs in de originele OpenAI Codex paper al dat het gebruikt kan worden voor “polymorphic malware”, maar malware gebruikt al een heleboel obfuscation, packers, anti-analysis, enzovoorts. Dus het verschil hierin is niet zo groot. Het grotere verschil is dat ze nu met ChatGPT nog geloofwaardigere en perfectere phishing mails kunnen schrijven.

[Reactie gewijzigd door Weicool op 24 juli 2024 08:00]

Bepaalde dingen moet je gewoon niet aan het Net hangen is mijn mening.
Dingen als grype of safety kunnen helpen.
Niet de industrie zelf maar bijvoorbeeld de Europese Unie heeft wel wetgeving (NIS2, etc) in de maak die supply chain attacks beter controleerbaar moet maken of zelfs (deels) moet voorkomen.
Toch heb ik een vermoede dat een hacker zich weinig aan zal trekken van een wetgeving ;)
Wat bedoel je in dit geval met supply chain? Supply chain lijkt me ook gaan om voorkomen dat een systeem voor verhandelen niet een systeem voor energie opwekken kan bereiken. Zelfs al zouden de eisen aan dit soort handelssoftware onder minder strenge eisen vallen dan bijvoorbeeld apparatuur voor energie opwekken, software voor financiële diensten of medische apparatuur.
Standaarden? ja. Toepassing/gebruik er van? nauwelijks.
Software bill of materials (SBOM) is de manier om je software in de gaten te houden. SPDX en CycloneDX zijn daarvoor standaarden. Het probleem is, de meeste software vendors leveren geen SBOMs met hun software. En dan is er nog het ding van SBOM management en monitoring door de software gebruikers.
Het is wel duidelijk dat als je een brief van de overheid krijgt met hetzelfde taalgebruik als in dit artikel, er een sticker op komt met "retour afzender onbegrijpelijke taal voor de eenvoudige man" ...
\m/\m/
Als het geadresseerd is aan de cyber security afdeling dan hoop ik het toch niet. Dan kan je die afdeling net zo goed opdoeken.

Ik vind het artikel eerlijk gezegd prima te volgen zonder een achtergrond in IT of cyber security. Kan je aangeven wat je er onduidelijk aan vindt? Dan kan @Kevinkrikhaar misschien nog wat verduidelijken.
Wat is er onduidelijk aan? Tweakers is geen Telegraaf of AD dus enige achtergrondkennis mag wel verwacht worden van de lezer.
retour eenvoudige man dan ook maar ineens terug naar de plek waar hij z'n job gevonden heeft, want die zit dan duidelijk ook niet op z'n plaats
Reageerders: “Tweakers is zoals nu.nl geworden in plaats van dat ze meer achtergrond en diepere materie plaatsen.”
Tweakers: *plaatst artikel met meer achtergrond en diepere materie*
Reageerder paulwump: “Het artikel is onbegrijpelijk voor de eenvoudige man.”

Conclusie: het is dus nooit goed.

Dat gezegd hebbende kan ik het prima volgen en ik heb geen diepe achtergrond in de IT en al helemaal niet in de cyberbeveiligingsbranche.

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 08:00]

Ik zou ervoor tékenen om een dergelijke brief te ontvangen. Digitaal uiteraard want post = dood.. maar dan zou het eindelijk makkelijk te begrijpen zijn.
Uhh, wat is onduidelijk dan? Voorbeelden graag!
Ik zeg totaal niet dat ik het niet te begrijpen vind. Ik kan mij gewoon voorstellen dat er veel mensen zijn die zich even achter de oren krabben als ze lezen: " De aanvallers achter deze breaches hebben duidelijk een succesvol sjabloon voor supplychainaanvallen en nieuwe, gelijkwaardige aanvallen kunnen daardoor niet worden uitgesloten.". Maar goed, hier op Tweakers zitten geen eenvoudige mensen en humor hebben ze ook niet...

\m/\m/

p.s. toevallig iets gelezen van steffie.nl en de stickers.. taalgebruik, das het enige waar dit over gaat...
Meer en meer hoor ik dat hackersgroepen gelieerd aan een overheid schade veroorzaken in onze wereld. En ik vraag me steeds weer af hoe lang we dit nog tolereren, of dat we het gaan zien als een oorlogsdaad. Want in mijn beleving is het lamleggen van essentiële infrastructuur, ziekenhuizen, scholen, etc, een vorm van oorlogsvoering. En ja, ik begrijp dat het lastig zal worden om bewijzen te krijgen dat een hackersgroep bij een overheid hoort. Maar ons enkel beschermen lijkt de laatste jaren niet genoeg meer te zijn. Waar blijft de tegenaanval?
ik snap juist niet waarom we zo veel waarde hechten aan 'welke overheid' erachter zit. het lijkt bijna een persbericht waar het Pentagon nog even aan gesleuteld heeft.
Het kan best NK zijn zoals in het artikel staat, maar wie al wat langer het nieuws volgt ziet toch wel een patroon.
Hogere machten hebben een hekel aan iemand en roepen die uit tot boogieman. Alles wat fout gaat is (waarschijnlijk) door de die persoon gedaan.
Er is ook heel veel wat je niet hoort.
Waarschijnlijk meer.

Hier is een lijstje met ”westerse” malware ontwikkeld en gebruikt door de overheden van de VS, UK, Canada, Australie en Nieuw Zeeland.
Dit zijn ook staatshackers, maar in “onze” journalistiek wordt dit niet zo genoemd.

https://wikileaks.org/vault7/releases/#Imperial
Dit lijstje bevat handleidingen, informatie over het gebruik etc.

Dank aan Julian Assange en Edward Snowden. Tweakers, en andere westerse media bericht er alleen nauwelijks wat over. Bang gemaakt.

[Reactie gewijzigd door Mushroomician op 24 juli 2024 08:00]

Dit zijn ook staatshackers, maar in “onze” journalistiek wordt dit niet zo genoemd.
Zo werkt dat altijd met propaganda. Voor sommige was Hitler de verlosser, voor de rest v/d wereld een smerige rat.

Het probleem is dat wij geen journalistiek hebben maar copy paste bots. Dus alleen ongeverifieerde praatjes van de veiligheidsdiensten komen in het nieuws.
Soms is er iets dat diepgang lijkt te hebben, maar dat is zeer vaak dusdanig eenzijdige diepgang dat het de betrouwbaarheid heeft van een Pentagon berichtje.
Wie zegt dat 'we' er niet allang mee bezig zijn?

De grote landen zullen dit echt wel doen hoor.

Ons land is gewoon te klein om voldoende kundigheid te hebben om zowel defensief áls aggresief digitaal leger te hebben.
Denk dat de kundigheid van nl niet zo aan de grote klok word gehangen. We zijn wel kundig genoeg om stux te verspreiden in iran en nog meer van dat soort geintjes. Kortom in cyberspace betekenen we wel wat. Heb het idee alleen adverteren doen we het niet en ook wel terecht wel zo wijs denk ik.

[Reactie gewijzigd door Cybermage op 24 juli 2024 08:00]

Ons land is gewoon te klein om voldoende kundigheid te hebben om zowel defensief áls aggresief digitaal leger te hebben.
En bovenal is ons belastingklimaat/cultuur daar de slecht voor.
Iemand die erg goed is, mag niet erg goed betaald worden. Asocialen die boven modaal verdienen worden over de bak getrokken door de belastingdienst.
Dus vertrekken veel goed krachten.

Nederland heeft ook helemaal niets met defensie. Bijna helemaal wegbezuinigen die hap. Cyberdefensie zal ook geen vlucht nemen hier. En als er dan een paar prima kandidaten zijn mogen ze niet worden aangenomen omdat ze niet in de afspiegeling v/d bevolking passen.
Tegenaanval? Dit zijn juist vaal tegenaanvallen omdat ze zelf aamgevallen zijn door bv de VS. Als jij denkt dat 'wij' dit soort aanvallen niet uitvoeren op NK of Iran, dan ben je wel heel erg naief. Dit zijn gewoon reacties dus op aanvallen van westerse landen, dit gaat gewoon beide kanten op.
Nederland kan zich geen vergeldingsmaatregel veroorloven. Wij zijn een handelsland, sancties gaan tegen onze belangen in.
Zou niet elk land een intern netwerk moeten hebben en een extern. eentje voor het normale internet. En eentje voor Ziekenhuizen / artsen, energiesector. etc. Echt op apart glasvezel netwerk. Uiteraard kan iemand dit dan nog met een brug verbinden met het normale internet. Maar gaat er bij een gebruiker iets mis dan is deze ook makkelijk ( tijdelijk ) te blokkeren. Plus Ddos aanvallen zijn bijna niet uit te voeren. En anders ook makkelijk te verhelpen. Het verkeer van een arts naar een ziekenhuis zou bijvoorbeeld al niet over het Extern netwerk ( internet ) hoeven te lopen. Zelfde geld voor veel toepassingen in de energie sector. En moet je wel iets sturen naar bijvoorbeeld Duitsland. Dan ga je over het externe netwerk ( Internet ).
Glasvezel Kabels liggen er toch al extra. Bij ons komen er per locatie al 16 of 32 binnen.

Op dit item kan niet meer gereageerd worden.