Атака на цепочку поставок 3CX: извлеченные уроки

Злоумышленники сначала взломали пакет программного обеспечения X_TRADER от компании под названием Торговые Технологии со штаб-квартирой в Чикаго, штат Иллинойс. Программное обеспечение содержало вредоносное ПО ( ЗАКРЫТЫЙСИГНАЛ бэкдор) впрыскивается. Программа установки была подписана цифровой подписью с использованием действующего сертификата подписи кода. Возможно, злоумышленники ворвались в здание pipeline к 2021 году и модифицировали программное обеспечение перед его упаковкой и подписанием. Это был первый шаг в атаке на цепную цепочку поставок. К марту 2022 года это было сообщал в контексте операций DreamJob, он же BLINDINGCAN и AppleJeus, нацеленный на американские организации в сфере средств массовой информации, информационных технологий, криптовалют и финансовых технологий.

Это программное обеспечение было снято с производства в 2020 году (!), но с 2022 года оно было доступно для скачивания. Сотрудник 3CX установил его на персональный компьютер. Злоумышленники украли корпоративные учетные данные сотрудника со взломанного компьютера. Достаточно интересно, ЗАКРЫТЫЙСИГНАЛ использовал URL-адрес на веб-сайте Trading Technologies для управления и контроля (тактика, часто используемая, чтобы избежать обнаружения).

Через два дня после первоначального взлома злоумышленники использовали корпоративную VPN для доступа к внутренним системам 3CX. Они использовали обратный прокси-сервер FRP, общедоступный инструмент, который можно использовать как во благо, так и во зло, чтобы двигаться в горизонтальном направлении. Они знали, что делать с завоеванной точкой опоры: скомпрометировали системы сборки Windows и macOS. Каждая среда с разными инструментами. Например, они использовали инструмент SigFlip для внедрения шелл-кода, зашифрованного RC4, в приложение к подписи файла. d3dcompiler_47.dll.

Были заражены обновления программного обеспечения десктопного приложения 3CX для Windows и macOS. Это был второй этап этой (первой?) многоэтапной атаки на цепочку поставок. Обновление программного обеспечения для Windows, также подписанное сертификатом подписи кода 3CX, удаляет два вредоносных файла: ffmpeg.dll и d3dcompiler_47.dll (с эквивалентом .dylib библиотеки для macOS), которые загружались и выполнялись безобидными 3CXDesktopApp исполняемый файл (с помощью техники загрузки боковой DLL). Шеллкод, зашифрованный во второй DLL, загружает другую DLL, которая загружается из ИконкаХранилища Репозиторий GitHub — файл .ico, содержащий зашифрованный сервер управления и контроля (C2).

Для этого было выделено более 20 доменов, что говорит нам о том, насколько тщательно была спланирована атака на цепочку поставок программного обеспечения.

Подключения компьютеров жертв к доменам С2 начались 06 марта 2023 года и завершились 29 марта.

Обратите внимание, что (1) исходный код в репозитории кода не был изменен, а вместо этого во время сборки была внедрена вредоносная нагрузка, (2) законный FFmpeg DDL был заменен вредоносным и загружен через побочную загрузку DLL, а (3) популярное VoIP-приложение было превращено в оружие с многоэтапным вредоносным ПО.

Как разрешился инцидент

Похоже, 29 марта 3CX получила сообщения от третьих лиц о злоумышленнике, «эксплуатирующем уязвимость в их продукте». Платформы защиты от вредоносных программ сделали (частично) свою работу.

30 марта 2023 года 3CX CISО, Пьер Журдан, опубликовал предупреждение системы безопасности информирование клиентов и партнеров о том, что их приложение Electron (настольный клиент) было отправлено после обновления с вредоносным ПО. В сообщении перечислены затронутые версии (для Windows и Mac), краткое описание принятых первоначальных мер по сдерживанию и краткая рекомендация продолжить работу с веб-клиентом вместо испорченного настольного клиента.

По моему мнению, первоначальное сообщение, хотя и немного краткое, было по существу. Любому поставщику нелегко осознать, что существует серьезная проблема безопасности, потенциально затрагивающая многих клиентов. Компания признала проблему и сразу указала на потенциального виновника:

«Стоит упомянуть: похоже, это была целенаправленная атака со стороны Advanced Persistent Threat, возможно, даже спонсируемая государством, которая провела сложную атаку на цепочку поставок и выбрала тех, кто будет загружать следующие этапы их вредоносного ПО».

Компания предложила альтернативу для поддержания работоспособности продукта: использовать Прогрессивное веб-приложение или PWA вместо настольного приложения в зависимости от электрон фреймворк.

«Мы настоятельно рекомендуем вам вместо этого использовать наше приложение PWA. Приложение PWA полностью основано на Интернете и выполняет 95% функций электронного приложения. Преимущество заключается в том, что он не требует установки или обновления, а веб-безопасность Chrome применяется автоматически.

Причина, по которой у нас есть два приложения, заключается в том, что когда мы запустили приложение Electron, технология PWA еще не была доступна. Теперь он зрелый и работает очень хорошо».

Что ж, веб-приложение также может быть заражено, и PWA по определению может запускать код в сервис-воркерах (код JavaScript) с (ограниченным) доступом к локальным ресурсам. В сообщении утверждалось, что PWA на тот момент не был заражен. Мы можем понять, почему во многих из более чем 277 комментариев к посту некоторые спрашивали, была ли скомпрометирована упомянутая альтернатива PWA или само программное обеспечение сервера PBX.

Тот же день, 3CX назначила Mandiant для расследования, с дополнительными инструкциями. По сути, он устанавливает обновление для

Приложение Win/Mac Desktop при локальной установке, удалите электронное приложение для затронутых версий и перейдите к альтернативе PWA. Этого не обязательно достаточно, поскольку вредоносное ПО может иметь доступ к затронутым системам, сохранять вредоносное ПО или даже перемещаться в сторону. Полное удаление вредоносного ПО не так уж и просто. Мы можем понять, что, учитывая срочность, не всегда находится лучший способ справиться с инцидентом… если только сценарий не был заранее продуман и не определены надлежащие меры по устранению.

 следующий пост, теперь генеральный директор компании, пытается успокоить клиентов, объявляя об обновлении только для безопасности для DesktopApp. Были реализованы некоторые базовые методы защиты, такие как хеширование паролей («Лучше, чем никогда, поздно; чтобы никогда не добиться успеха, потребуется слишком много времени», Чосер). Диксит в 1386 году.) Конкретные, реализованные меры защиты лучше добрых намерений и запланированных планов… Но как раньше хранились пароли?

В любом случае, Google признал недействительным существующий сертификат подписи кода 3CX, а поставщики антивирусов также заблокировали любое программное обеспечение, подписанное этим сертификатом. Установщики MSI для обновления DesktopApp необходимо было повторно создать с использованием нового сертификата подписи кода, что заняло несколько часов. Этого можно было ожидать!

3CX превентивно развернула новый сервер сборки. Это логично: без анализа было неизвестно, как было внедрено вредоносное ПО.

1 апреля того же года генеральный директор опубликовал сообщение Обновление об инциденте безопасности. В посте рассказывается, чем занимается компания (проводит полное расследование и проверяет весь исходный код клиентского ПО). Безопасность не может ждать даже по субботам.

Когда инцидент был проанализирован и инфраструктура злоумышленника стала известна, репозиторий GitHub и домены серверов C2, используемые APT, были удалены, что эффективно ликвидировало вредоносное ПО.

16 апреля CISО опубликовал первоначальные результаты анализа инцидента. Впервые был упомянут APT UNC4736, связанный с Северной Кореей.

В пятницу, 20 апреля, Mandiant опубликовал первичный анализ происшествия. Опубликованы правила обнаружения YARA и Snort.

В тот же день генеральный директор 3CX опубликовал новый пост с многообещающим названием. «Действия, а не слова – наш 7-ступенчатый план действий по обеспечению безопасности!». Подзаголовок довольно интересный: «Обеспечение безопасности будущего 3CX после первого в своем роде каскадного подключения атака на цепочку поставок «программное обеспечение в программном обеспечении»». Этапы проекта Хартии безопасности таковы:

• Усиление нескольких уровней сетевой безопасности.

• Обновление повышает безопасность.

• Постоянная проверка безопасности продукта.

• Улучшение функций безопасности продукта.

• Проведение постоянного тестирования на проникновение.

• Уточнение плана антикризисного управления и реагирования на оповещения.

• Создание нового отдела сетевых операций и безопасности..

Аналитики действительно будут следить за этой похвальной программой…

Последствия: как отреагировала отрасль

Прошло всего несколько недель с момента публикации инцидента. Но индустрия реагирует.

CVE-2023-29059 был назначен. На сегодняшний день он имеет оценку риска CVSSv7.8 3 (ВЫСОКИЙ). Продукты 3CX имеют только 16 перечисленных CVE, что выглядит хорошо по сравнению с поставщиками с аналогичными уровнями внедрения. Но этот инцидент не обычная уязвимость действительно. Это активная целевая атака со стороны активной постоянной угрозы (APT), поскольку CISСамый узнаваемый из О.

 КВО-506 «Внедренный вредоносный код», который классифицирует этот инцидент, не очень помогает нам в понимании того, как предотвратить такие атаки на цепочку поставок программного обеспечения. К сожалению, у плохих парней есть много путей для доставки вредоносного ПО, и атаки на цепочку поставок — это новая жемчужина в их арсенале. CWE-506 следует улучшить, чтобы отразить текущие сценарии, включая те, которые основаны на взломе системы сборки.

APT, названный Mandiant UNC4736, использует тактику и методы, аналогичные широко известной группе Lazarus Group (APT38), созданной северокорейским государством, и организаторам кампании вымогателя WannaCry 2017 года. Подобные связи между плохими деятелями в сталинских государствах с регулярным рабочим графиком установить трудно, но исследователи из CrowdStrike и ESET обнаружил, что используемые тактики, методы и процедуры (TTP) напоминают те, которые обычно используются Lazarus APT38. Понимание того, как они действуют, имеет важное значение для обнаружения, предотвращения и искоренения.

Знать свои цели, окутанные тайной, еще сложнее.

Эта атака настолько важна, что CISА, Агентство кибербезопасности США, выпустило консультативный с постами поставщика и ссылками на множественные анализы атаки на цепочку поставок. Чтение их актуально для специалистов по кибербезопасности.

Инцидент напоминает нам об атаке SolarWinds. Учитывая огромное влияние, многие поставщики бросились анализировать зараженные установщики продуктов VoIP для настольных компьютеров. Но это последний шаг. Необходимы дополнительные подробности, чтобы понять, что не удалось с безопасностью систем сборки двух пострадавших организаций и какие шаги злоумышленники предприняли, чтобы повлиять на эти системы сборки и сумели внедрить вредоносное ПО во время сборки. В противном случае этот инцидент будет повторяться снова и снова.

И вот, уроки извлечены!

Играя в командный вид спорта и слушая, как кто-то из вашей команды потом объясняет каждую минуту игры, разрушает самый закаленный дух. Но здесь, в Испании, каждый является национальным футбольным тренером! Итак, позвольте мне сыграть роль Пепа Гвардиолы, Жозе Моуринью, Алекса Фергюсона и Арриго Сакки вместе.

Действуйте так, как будто ваша система сборки находится под сильным артиллерийским обстрелом.. Возможно, вы не сможете запретить сотруднику устанавливать несанкционированное программное обеспечение на рабочие компьютеры. Вероятно, инженерные команды могут потребовать более строгой политики. Но будьте бдительны при сборке и развертывании. pipeline. Если вы поставляете программное обеспечение клиентам, безопасность того, как вы создаете программное обеспечение, должна быть так же важна, как и безопасность программного продукта.

Готовность к инцидентам. Трудно, возможно, бесплодно, предвидеть наиболее вероятные сценарии инцидентов безопасности. Стоит ли мне научиться пользоваться дефибриллятором? Нет, если только я не живу со склонностью к карточкеiac арестовать. Но ради бога! Будьте готовы «перестроить свою сборку» с нуля, с отзывом + обновлением ключей, токенов доступа, пар открытых ключей и сертификатов.

Системы сборки должны иметь определенные характеристики: Текущая тенденция к построению в эфемерных средах с изолированными/безпараметрическими/герметичными и даже воспроизводимыми средами может стать основой для предотвращать Атаки, подобные атаке на цепочку поставок 3CX, при дополнении дополнительными требованиями к другим системам в процессе сборки и развертывания pipeline. Посмотреть Требования к сборке Google SLSA для справки.

Правильное общение – это ключ к успеху. Прозрачность обязательна. Свести к минимуму проблему или спрятать ее под ковриком — худшее, что может сделать любая организация. Инциденты безопасности часто сильнее наносят ущерб репутации, чем другим активам, а плохая коммуникация после взлома может иметь катастрофические последствия.

Превратите проблемы в возможности. Хороший инцидент может спровоцировать улучшения в средствах управления безопасностью, которые никогда не были отражены в жестком плане продукта. Даже такие важные вещи, как правильное хеширование паролей и документация по настройке и усилению безопасности, можно запланировать на краткосрочную перспективу. Но для атак в цепочке поставок необходимо ужесточить системы сборки и добавить аттестации и проверки целостности на каждом этапе сборки и развертывания. pipelineы необходимы. Злоумышленнику не должно быть так легко внедрить такие изменения в систему сборки.

Будьте готовы. В противном случае ваша организация может столкнуться с экзистенциальной угрозой, например, атакой на цепочку поставок программного обеспечения 3cx.