هجوم سلسلة التوريد 3CX: الدروس المستفادة

قام الممثلون السيئون أولاً باختراق حزمة برامج، X_TRADER، من شركة تدعى تقنيات التداول مقرها الرئيسي في شيكاغو، IL. كان البرنامج يحتوي على برامج ضارة ( VEILEDSIGNAL الباب الخلفي) حقن. تم توقيع برنامج التثبيت رقميًا باستخدام شهادة توقيع رمز صالحة. ربما اقتحم الممثلون السيئون البناء pipeline بحلول عام 2021 وتعديل البرنامج قبل تعبئته وتوقيعه. كانت هذه هي الخطوة الأولى في هجوم سلسلة التوريد بالسلاسل. بحلول مارس 2022 كان هذا وذكرت في سياق العمليات DreamJob المعروف أيضًا باسم BLINDINGCAN و AppleJeus، تستهدف المؤسسات التي مقرها الولايات المتحدة في مجال وسائل الإعلام الإخبارية وتكنولوجيا المعلومات والعملات المشفرة وصناعات التكنولوجيا المالية.

تم إيقاف هذا البرنامج في عام 2020 (!)، ولكنه أصبح متاحًا للتنزيل اعتبارًا من عام 2022. وقام أحد موظفي 3CX بتثبيته على جهاز كمبيوتر شخصي. سرق الأشرار بيانات اعتماد الشركة الخاصة بالموظف من جهاز الكمبيوتر المخترق. ومن المثير للاهتمام أن VEILEDSIGNAL استخدمت عنوان URL ضمن موقع Trading Technologies على الويب للقيادة والتحكم (وهو تكتيك يستخدم غالبًا لتجنب الاكتشاف).

وبعد يومين من التسوية الأولية، استخدم الممثلون السيئون شبكة VPN الخاصة بالشركة للوصول إلى أنظمة 3CX الداخلية. لقد استخدموا وكيل FRP العكسي، وهو أداة عامة يمكن استخدامها للخير والشر، للتحرك بشكل جانبي. لقد عرفوا ما يجب عليهم فعله بموطئ القدم المكتسب: لقد قاموا باختراق أنظمة إنشاء Windows وmacOS. كل بيئة بأدوات مختلفة. على سبيل المثال، استخدموا أداة SigFlip لإدخال كود القشرة المشفر بـ RC4 في ملحق التوقيع الخاص بالبرنامج. d3dcompiler_47.dll.

تم إصابة تحديثات البرامج لتطبيق 3CX Desktop لنظامي التشغيل Windows وmacOS. كانت هذه هي الخطوة الثانية في هجوم سلسلة التوريد متعدد الخطوات (الأولى؟). تحديث البرنامج لنظام التشغيل Windows، والذي تم توقيعه أيضًا بشكل صحيح باستخدام شهادة توقيع رمز 3CX، يسقط ملفين ضارين، ffmpeg.dll و d3dcompiler_47.dll (مع ما يعادلها .dylib مكتبات نظام التشغيل macOS)، والتي تم تحميلها وتنفيذها بواسطة برنامج benign 3CXDesktopApp قابل للتنفيذ (عبر تقنية التحميل الجانبي لـ DLL). يقوم كود القشرة المشفر في ملف DLL الثاني بتحميل ملف DLL آخر يتم تنزيله منه تخزين الأيقونات مستودع GitHub هو ملف .ico يحتوي على خادم الأوامر والتحكم (C2) المشفر.

لقد تم تجهيز أكثر من 20 نطاقًا لهذا الغرض، مما يخبرنا عن كيفية التخطيط بعناية لهجوم سلسلة توريد البرامج.

بدأت الاتصالات من أجهزة الكمبيوتر الخاصة بالضحايا إلى نطاقات C2 في 06 مارس 2023، وانتهت في 29 مارس.

يرجى ملاحظة أنه (1) لم يتم تعديل أي كود مصدر في مستودع التعليمات البرمجية ولكن بدلاً من ذلك، تم إدخال حمولة البرامج الضارة أثناء الإنشاء، (2) مشروع شرعي فمبيج تم استبدال DDL بآخر ضار وتم تحميله عبر تحميل DLL الجانبي، و(3) تم تحويل تطبيق VoIP الشهير إلى سلاح يحتوي على برامج ضارة متعددة المراحل.

كيف تم التعامل مع الحادث

يبدو أنه في 29 مارس، تلقت شركة 3CX تقارير من أطراف ثالثة عن جهة فاعلة ضارة "تستغل ثغرة أمنية في منتجها". قامت منصات مكافحة البرامج الضارة بعملها (جزئيًا).

في 30 مارس 2023، 3CX CISيا بيير جوردان، نشر انذار امني إعلام العملاء والشركاء بأن تطبيق Electron (عميل سطح المكتب) الخاص بهم قد تم شحنه بعد تحديث يحتوي على برامج ضارة. يسرد المنشور الإصدارات المتأثرة (لنظامي التشغيل Windows وMac)، وبيان قصير حول إجراءات الاحتواء الأولية المتخذة، وتوصية سريعة لمواصلة العمل مع عميل الويب بدلاً من عميل سطح المكتب الملوث.

IMO كان الاتصال الأولي، وإن كان مقتضبًا بعض الشيء، في صلب الموضوع. ليس من السهل على أي بائع أن يدرك أن هناك مشكلة أمنية خطيرة من المحتمل أن تؤثر على العديد من العملاء. أدركت الشركة المشكلة، وأشارت على الفور إلى السبب المحتمل:

"الجدير بالذكر - يبدو أن هذا كان هجومًا مستهدفًا من أحد التهديدات المستمرة المتقدمة، وربما حتى برعاية الدولة، والذي نفذ هجومًا معقدًا على سلسلة التوريد واختار من سيقوم بتنزيل المراحل التالية من برامجهم الضارة."

عرضت الشركة بديلاً للحفاظ على عمل المنتج: استخدام التقدمي تطبيق الويب أو PWA، بدلاً من تطبيق سطح المكتب، استنادًا إلى الإلكترون الإطار.

"نقترح بشدة استخدام تطبيق PWA الخاص بنا بدلاً من ذلك. يعتمد تطبيق PWA على الويب بالكامل وينفذ 95% مما يفعله تطبيق الإلكترون. وتتمثل الميزة في أنه لا يتطلب أي تثبيت أو تحديث، ويتم تطبيق أمان ويب Chrome تلقائيًا.

السبب وراء وجود تطبيقين لدينا هو أنه عندما بدأنا تطبيق Electron، لم تكن تقنية PWA متاحة بعد. لقد أصبح الآن ناضجًا ويعمل بشكل جيد حقًا."

حسنًا، قد يكون تطبيق الويب مصابًا أيضًا، وقد يقوم PWA حسب التعريف بتشغيل تعليمات برمجية في عمال الخدمة (رمز JavaScript) مع وصول (مقيد) إلى الموارد المحلية. وادعى المنشور أن سلطة المياه الفلسطينية لم تكن مصابة في ذلك الوقت. يمكننا أن نفهم السبب، في العديد من التعليقات التي يزيد عددها عن 277 تعليقًا على المنشور، تساءل البعض عما إذا كان بديل PWA المذكور أو برنامج خادم PBX نفسه قد تعرض للخطر.

نفس اليوم، عينت 3CX Mandiant للتحقيق, مع مزيد من التعليمات. في الأساس، يقوم بتثبيت التحديث لـ

تطبيق Win/Mac Desktop عند التثبيت المحلي، وقم بإلغاء تثبيت تطبيق الإلكترون للإصدارات المتأثرة، وانتقل إلى بديل PWA. وهذا لا يكفي بالضرورة، حيث قد تتمكن البرامج الضارة من الوصول إلى الأنظمة المتأثرة، أو تستمر في البرامج الضارة، أو حتى تتحرك أفقيًا. الإزالة الكاملة للبرامج الضارة ليست بهذه السهولة. يمكننا أن نفهم أنه، نظراً لمدى إلحاح الأمر، لا يتم العثور دائماً على أفضل طريقة للتعامل مع حادث ما... ما لم يتم تصور السيناريو مسبقاً وتحديد تدابير العلاج المناسبة.

استخدم المشاركة التالية, الآن من قبل الرئيس التنفيذي للشركة، يحاول طمأنة العملاء بالإعلان عن تحديث أمني فقط لتطبيق DesktopApp. تم تنفيذ بعض تقنيات الحماية الأساسية، مثل تجزئة كلمة المرور (“التأخر أفضل من ألا يحدث أبدًا؛ عدم النجاح مطلقًا سيكون فترة طويلة جدًا”. تشوسر ديكسيت في عام 1386.) إن وسائل الحماية المحددة والمنفذة أفضل من النوايا الحسنة والخطط المتوقعة... ولكن كيف تم تخزين كلمات المرور سابقًا؟

على أية حال، قامت Google بإبطال شهادة توقيع رمز 3CX الحالية كما قام موردو برامج مكافحة الفيروسات أيضًا بحظر أي برنامج موقع بهذه الشهادة. يلزم إعادة إنشاء مثبتات MSI لتحديث DesktopApp باستخدام شهادة توقيع رمز جديدة، الأمر الذي استغرق عدة ساعات. وهذا يمكن توقعه!

قامت 3CX بنشر خادم بناء جديد بشكل وقائي. وهذا أمر معقول: فبدون التحليل، لم تكن كيفية حقن البرنامج الضار معروفة.

في نفس الأول من أبريل، نشر الرئيس التنفيذي أ تحديث الحادث الأمني. يوضح المنشور ما كانت تفعله الشركة (إجراء تحقيق كامل، والتحقق من صحة الكود المصدري الكامل لبرنامج العميل.) لا يمكن للأمن الانتظار حتى في أيام السبت.

عندما تم تحليل الحادث وتم التعرف على البنية التحتية للمهاجم، تمت إزالة GitHub repo ونطاقات خوادم C2 التي تستخدمها APT، مما أدى إلى إزالة البرامج الضارة بشكل فعال.

في أبريل 11th ، و CISلقد نشرت النتائج الأولية لتحليل الحادث. تم الاستشهاد لأول مرة بـ UNC4736 APT المرتبطة بكوريا الشمالية.

في يوم الجمعة 20 أبريل، نشر مانديانت التحليل الأولي للحادث. تم نشر قواعد الكشف عن YARA وSnort.

في نفس اليوم، نشر الرئيس التنفيذي لشركة 3CX منشورًا جديدًا يحمل الاسم المثير "الأفعال، وليس الكلمات - خطة العمل الأمنية المكونة من 7 خطوات!". العنوان الفرعي مثير للاهتمام للغاية: "تأمين مستقبل 3CX بعد سلسلة متتالية هي الأولى من نوعها هجوم سلسلة التوريد البرمجيات في البرمجيات". خطوات صياغة الميثاق الأمني ​​هي:

• تصلب طبقات متعددة من أمن الشبكة.

• التجديد يبني الأمن.

• المراجعة المستمرة لأمن المنتج.

• تعزيز ميزات أمان المنتج.

• إجراء اختبار الاختراق المستمر.

• تحسين إدارة الأزمات وخطة التعامل مع التنبيه.

• إنشاء قسم جديد لعمليات وأمن الشبكات.

وسوف يراقب المحللون هذا البرنامج الجدير بالثناء بالفعل ...

العواقب: كيف كان رد فعل الصناعة

ولم تمر سوى أسابيع قليلة على نشر الحادثة. لكن الصناعة تتفاعل.

CVE-2023-29059 تم تعيينه. اعتبارًا من اليوم، حصل على درجة مخاطرة CVSSv7.8 3 (عالية). تحتوي منتجات 3CX على 16 CVE مدرجة فقط، وهو ما يبدو جيدًا عند مقارنتها بالبائعين بمستويات تنفيذ مماثلة. لكن هذه الحادثة ليست الضعف المعتاد في الواقع. هذا هجوم مستهدف نشط من خلال تهديد مستمر نشط (APT)، حيث CISO الأكثر شهرة.

استخدم سي دبليو إي-506 إن "البرمجيات الخبيثة المضمنة" التي تصنف هذه الحادثة لا تساعدنا كثيراً في فهم كيفية منع مثل هذه الهجمات على سلسلة توريد البرمجيات. ومن المؤسف أن الأشرار لديهم العديد من السبل لإيصال البرمجيات الخبيثة، حيث أصبحت هجمات سلسلة التوريد جوهرة التاج الجديدة في ترسانتهم. وينبغي تحسين CWE-506 لتعكس السيناريوهات الحالية، بما في ذلك تلك القائمة على اختراق نظام البناء.

تستخدم APT، التي أطلق عليها Mandiant اسم UNC4736، تكتيكات وتقنيات مشابهة لمجموعة Lazarus Group (APT38) المعروفة على نطاق واسع، والمخبوزة من قبل دولة كوريا الشمالية، ومنفذي حملة برامج الفدية WannaCry لعام 2017. من الصعب إنشاء مثل هذه العلاقات بين الجهات الفاعلة السيئة في الدول الستالينية ذات ساعات العمل المنتظمة، لكن الباحثين من حشد سترايك و ESET وجدت أن التكتيكات والتقنيات والإجراءات (TTPs) المستخدمة تشبه تلك المستخدمة بشكل شائع من قبل Lazarus APT38. إن فهم كيفية عملها أمر ضروري للكشف عنها والوقاية منها والقضاء عليها.

إن معرفة أهدافهم التي يكتنفها الغموض أمر أصعب.

هذا الهجوم مهم بما فيه الكفاية CISأصدرت وكالة الأمن السيبراني الأمريكية رسالة استشاري تتضمن منشورات البائعين وروابط التحليلات المتعددة حول هجوم سلسلة التوريد. قراءتها مهمة لممارسي الأمن السيبراني.

يذكرنا هذا الحادث بهجوم SolarWinds. نظرًا للتأثير الهائل، سارع العديد من البائعين إلى تحليل مثبتات منتجات سطح المكتب VoIP المصابة. ولكن هذه هي الخطوة الأخيرة. هناك حاجة إلى مزيد من التفاصيل لفهم ما فشل في أمان أنظمة البناء الخاصة بالمنظمتين المتأثرتين، وما هي الخطوات التي اتخذتها الجهات الفاعلة السيئة للتأثير على أنظمة البناء تلك وتمكنت من إدراج البرامج الضارة أثناء البناء. وإلا فإن هذه الحادثة سوف تتكرر مرارا وتكرارا.

والآن تعلمت الدروس!

إن ممارسة رياضة جماعية والاستماع إلى شخص ما في فريقك وهو يشرح لك كل دقيقة من عيوب اللعب بعد ذلك يحطم الروح الأكثر توتراً. لكن هنا في إسبانيا، الجميع مدرب كرة قدم وطني! لذا اسمحوا لي أن أمثل دور بيب جوارديولا، وخوسيه مورينيو، وأليكس فيرجسون، وأريجو ساكي معًا.

تصرف كما لو أن نظام البناء الخاص بك يتعرض لقصف مدفعي كثيف. ربما لا يمكنك منع أحد الموظفين من تثبيت برامج غير مصرح بها على أجهزة الكمبيوتر الخاصة بالعمل. من المحتمل أن تتطلب الفرق الهندسية سياسات أكثر صرامة. ولكن كن يقظًا عند الإنشاء والنشر pipeline. إذا قمت بتسليم برنامج للعملاء، فيجب أن يكون الأمان الخاص بكيفية إنشاء البرنامج بنفس أهمية أمان منتج البرنامج.

الاستعداد للحوادثمن الصعب، بل وربما يكون من غير المجدي، توقع السيناريوهات الأكثر احتمالاً للحوادث الأمنية. هل ينبغي لي أن أتعلم استخدام جهاز مزيل الرجفان؟ لا، إلا إذا كنت أعيش مع ميل إلى استخدام البطاقات.iac اعتقال. ولكن يا إلهي! كن مستعدًا لإعادة بناء نظامك من الصفر، مع إلغاء وتجديد المفاتيح، ورموز الوصول، وأزواج المفاتيح العامة، والشهادات.

يجب أن تتمتع أنظمة البناء بخصائص معينة: الاتجاه الحالي نحو البناء في بيئات سريعة الزوال، ومعزولة/بدون معلمات/محكم وحتى قابلة للتكرار يمكن أن يكون الإطار منع هجمات مثل تلك التي حدثت في 3CX Supply Chain Attack عندما تم استكمالها بمتطلبات إضافية على أنظمة أخرى في عملية البناء والنشر pipeline. شاهد متطلبات بناء Google SLSA كمرجع.

التواصل المناسب هو المفتاح. الشفافية إلزامية. إن التقليل من المشكلة أو إخفائها تحت السجادة هو أسوأ شيء يمكن أن تفعله أي منظمة. غالبًا ما تؤثر الحوادث الأمنية على السمعة بشكل أكبر من تأثيرها على الأصول الأخرى، وقد يكون التواصل السيئ بعد الاختراق كارثيًا.

تحويل المشاكل إلى فرص. يمكن لحادث جيد أن يؤدي إلى تحسينات في عناصر التحكم الأمنية التي لم تجد طريقها أبدًا إلى خطة المنتج الضيقة. حتى الأشياء الأساسية مثل تجزئة كلمة المرور المناسبة ووثائق تكوين/تعزيز الأمان يمكن جدولتها على المدى القصير. ولكن بالنسبة لهجمات سلسلة التوريد، وتقوية أنظمة البناء وإضافة الشهادات وعمليات التحقق من السلامة في كل خطوة من خطوات الإنشاء والنشر pipelineإنها ضرورية. لا ينبغي أن يكون من السهل على المهاجم زرع مثل هذه التغييرات في نظام البناء.

كن مستعدًا، وإلا فقد تواجه مؤسستك تهديدًا وجوديًا، مثل هجوم سلسلة توريد برامج 3cx.