De malware in de recente replace van het populaire voip-pakket 3CX is daar mogelijk geplaatst in opdracht van een andere dan Nederlandse overheid, of ‘state actor’ in het jargon. Dat meldt Pierre Jourdan, ciso bij 3CX. Het Nationaal Cyber Safety Centrum (NCSC) waarschuwt voor deze trojan, ofwel ‘slechte’ code die zich later openbaart.
3CX is een toepassing voor telefonie, videobellen en live-chat. Wereldwijd gebruiken meer dan zeshonderdduizend organisaties de instrument, waarvan zowel een desktop- als een webversie bestaat. De desktopvariant kreeg eerder deze maand een software-update. Later bleek dat malware was verwerkt in een van de gebundelde library’s die 3CX in Github compileerde tot de Home windows-app Electron. Hoe dit kon gebeuren, wordt onderzocht.
3CX-ciso Jourdan houdt er rekening mee dat de plaatsing van de malware een aanval van een overheid was. ‘Het lijkt een gerichte aanval te zijn geweest van een superior persistent menace’, schrijft hij. ‘Misschien zelfs eentje gesponsord door een staat, die een complexe ketenaanval uitvoerde en uitzocht wie de volgende onderdelen van hun malware zou downloaden. De overgrote meerderheid van de systemen zijn nooit geïnfecteerd, hoewel de bestanden in ruststand aanwezig waren.’
Certificaat geblokkeerd
“Het lijkt een gerichte aanval, misschien zelfs eentje gesponsord door een staat”
De fabrikant werkt aan een nieuwe versie van de replace, waarin geen malware zit. Dit duurt een tijdje. De oude replace is niet meer beschikbaar, ook niet vanuit de Github-repository. Een additional uitdaging bij het herstel van de replace is dat Google het softwaresecurity-certificaat van 3CX momenteel blokkeert. Verscheidene antivirusproducten blokkeren eveneens alle software program die is voorzien van het oude securitycertificaat.
Zowel het NCSC als de fabrikant adviseren gebruikers om de desktopversie van 3CX volledig te verwijderen en de webapplicatie te gebruiken totdat een herziene replace van de desktoptoepassing beschikbaar is. Op deze webpagina van het NCSC staan suggestions over hoe gebruikers hun ict-omgeving kunnen controleren op sporen van de malware.