Uno+dei+maggiori+attacchi+hacker+degli+ultimi+anni
cryptohackit
/uno-dei-maggiori-attacchi-hacker-degli-ultimi-anni/amp/
Ultime notizie

Uno dei maggiori attacchi hacker degli ultimi anni

Le reti di migliaia di aziende potrebbero essere state compromesse a causa di un attacco alla catena di approvvigionamento della società di telefonia aziendale 3CX. La società ha confermato giovedì che la sua app desktop è stata contaminata da malware.

Chi è 3CX

3CX fornisce sistemi telefonici VoIP a oltre 12 milioni di utenti giornalieri, in oltre 600.000 organizzazioni. Tra le aziende che utilizzano i suoi sistemi telefonici ci sono aziende del calibro di American Express, Mercedes-Benz e Coca-Cola.

Immagine | Envato Elements

Cosa sappiamo

Le reali entità ed impatto della compromissione non sono ancora chiari ma pare che dietro l’attacco di supply chain vi siano hacker del gruppo Labyrinth Chollima, organizzati dal Governo Nordcoreano.

Giovedì mattina, il fondatore e amministratore delegato Nick Galea ha pubblicamente confermato che la app desktop 3CX contiene un malware.

Pierre Jourdan, il responsabile della sicurezza delle informazioni della società, ha dichiarato che l’intrusione è stata opera di hacker altamente qualificati.

Il problema è stato segnalato all’azienda mercoledì sera, quando diverse società di sicurezza informatica, tra cui SentinelOne, Sophos e CrowdStrike avevano reso pubblici i rapporti sull’intrusione.

Mentre Sophos afferma che, ad essere compromesso, sia solo il client per Windows, Jourdan afferma che sono interessate anche alcune versioni del client 3CX per macOS.

Il software compromesso è in grado di eseguire il sideload del malware, progettato per rubare informazioni sensibili dai browser Web.

Mat Gangwer, vice Presidente del Managed Threat Response di Sophos, ha spiegato che gli aggressori sono riusciti a manipolare l’applicazione per aggiungere un programma di installazione che utilizza il sideload DLL per recuperare un payload dannoso e offuscato.

Le tecniche di sideload osservate non sono nuove, risultando simili a quelle utilizzate in una campagna in cui gli hacker utilizzavano malware diversi nelle unità USB per compromettere i computer in Mongolia, Papua Nuova Guinea, Ghana, Zimbabwe e Nigeria.

La cronistoria

L’attacco è venuto alla luce mercoledì scorso, quando i prodotti di varie società di sicurezza hanno iniziato a rilevare attività dannose provenienti da binari legittimamente firmati per le app desktop 3CX. I preparativi per la sofisticata operazione sono iniziati non più tardi di febbraio 2022.

A marzo dello scorso anno, la società di sicurezza SentinelOne, notò un picco nei rilevamenti comportamentali della App desktop 3CX. Contemporaneamente, gli utenti del software iniziarono a condividere online informazioni su quelli che credevano falsi positivi.

Tutte evidenze che lasciano intendere che l’attacco stia proseguendo da lungo tempo. 

Pare che i payload siano stati inseriti in librerie compilate tramite Git, un sistema che gli sviluppatori di software utilizzano per tenere traccia delle modifiche nelle app che producono.

Nel frattempo, molti dei server controllati dagli aggressori che le macchine infette contattano, sono già stati spenti.

Immagine | Envato Elements

Un caso simile della storia recente

L’incidente ricorda un attacco alla supply chain rilevato nel dicembre 2020, che colpì gli utenti del software di gestione delle reti Solarwinds.

All’epoca, il governo degli Stati Uniti e diversi ricercatori di sicurezza attribuirono l’attacco a Cozy Bear, uno dei nomi di un gruppo di hacker che si ritiene faccia parte del Servizio di sicurezza federale russo (FSB).

Come nel caso di 3CX, gli hacker di SolarWinds furono in grado di distribuire una backdoor a circa 18.000 utenti mediante un aggiornamento. Tra le vittime vi furono le aziende Malwarebytes, FireEye e Microsoft, 10 agenzie governative statunitensi, tra cui i Dipartimenti di Giustizia, Commercio, Tesoro, Energia e Sicurezza Nazionale e delle ONG, annoverando la campagna di hacking tra le peggiori nella storia moderna degli Stati Uniti.

Corsa ai ripari

Trascorrerà certamente del tempo prima di conoscere il reale impatto del nuovo attacco ma una cosa è certa: in attesa di avere conferme ufficiali su quali versioni utilizzare, è prudente rimuovere i client desktop e utilizzare le PWA (Progressive Web Apps).

Marco Marra

Appassionato di tecnologia ed esperto di Cyber Security con molti anni di esperienza nella prevenzione e gestione delle minacce cibernetiche. Altamente qualificato grazie alla continua formazione tecnica ed alle innumerevoli collaborazioni su progetti di sicurezza di importanti dimensioni in aziende italiane e multinazionali. Costantemente impegnato in attività di hacking etico e nella progettazione di sistemi di difesa Cyber Fisici

Recent Posts

La classifica dei lavori che più sentiranno l’impatto dell’intelligenza artificiale

Uno studio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) stima che circa il…

13 ore ago

Coca Cola, i nuovi spot di Natale creati con l’IA non sono piaciuti a tutti

Critiche per lo spot natalizio 2024 di Coca-Cola, realizzato interamente con intelligenza artificiale: innovazione o…

2 giorni ago

ChatGPT, Copilot o Gemini, le differenze e quale scegliere

Scopri le differenze tra ChatGPT, Gemini e Microsoft Copilot: caratteristiche, funzionalità e consigli per scegliere…

2 giorni ago

La frase choc di Gemini, l’intelligenza artificiale a un utente: “Sei un peso, muori”

L'azienda ha subito commentato quella che può sembrare una vera istigazione al suicidio. Si tratta…

3 giorni ago

DeFi, cosa si intende per finanza decentralizzata e come funziona

La DeFi permette di effettuare transazioni direttamente tra utenti, prestare o prendere in prestito denaro,…

4 giorni ago

Mike Tyson torna sul ring per sfidare lo youtuber Jake Paul e ChatGPT ha previsto chi vincerà

L'esperimento di Fanpage.it sull'attesissimo incontro che andrà in onda questa notte su Netflix L’attesa è…

6 giorni ago