.
O CEO do provedor de software VoIP 3CX disse que sua equipe testou seus produtos em resposta a alertas recentes notificando-o sobre um ataque à cadeia de suprimentos, mas avaliou que os relatórios de uma infestação de malware eram um falso positivo.
Nick Galea disse Strong The One por e-mail que o 3CX não ignorou os alertas, mas “optou por verificar novamente nosso aplicativo de desktop no VirusTotal e, como ele deu ao nosso aplicativo tudo claro, consideramos o alerta do SentinelOne um falso positivo. Não é incomum para aplicativos VoIP. Verificamos novamente alguns dias depois e obtive o mesmo resultado.”
“Só pudemos perceber a extensão da violação depois que Crowdstrike nos deu todos os detalhes e então respondemos imediatamente com o melhor de nossas habilidades, o que de forma alguma era o padrão da medalha olímpica”, acrescentou Galea, que admitiu que responder a um ataque à cadeia de suprimentos é , bem, bastante difícil.
Sentinel One detectou atividade incomum em 22 de março. Crowdstrike viu semelhante em 29 de março e, no mesmo dia, Galea foi aos fóruns da empresa para resolver o problema. Nesse meio tempo, muitos se perguntaram se o 3CX – que possui 12 milhões de usuários diários e cujos clientes incluem Mercedes Benz, McDonald’s, BMW, Holiday Inn, NHS, American Express, Coca-Cola e Air France – emitiria uma declaração sobre o indicadores de comprometimento de seus produtos.
Na época, a 3CX aconselhou seus clientes a usar seu aplicativo da Web progressivo (PWA) e abandonar seu aplicativo de desktop – uma pergunta difícil para alguns, pois o primeiro não suporta teclas de atalho ou replica a lâmpada de ocupado (BLF) usada para indicar chamadas em andamento no aparelhos de telefone físicos. A empresa disse que estava trabalhando para adicionar esses recursos ao seu aplicativo da web.
“O aplicativo PWA é totalmente baseado na web e faz 95 por cento do que o aplicativo eletrônico faz”, ler uma postagem no blog de 30 de março.
Em 3CX’s última atualizaçãopostado em 1º de abril, Galea patinou sobre a resposta aos relatórios do SentinelOne, alegando que a 3CX tomou medidas rápidas e apropriadas.
“Em 29 de março, a 3CX recebeu relatórios de terceiros sobre um agente malicioso explorando uma vulnerabilidade em nosso produto. Tomamos medidas imediatas para investigar o incidente, contratando a Mandiant, especialistas líderes globais em segurança cibernética”, argumentou o CEO.
Embora Crowdstrike já tenha identificado o grupo Labyrinth Chollima, ligado ao Lázaro da Coréia do Norte, como o culpado mais provável, Galea se recusou a identificar qualquer pista e apenas afirmou que “o incidente foi realizado por um hacker altamente experiente e conhecedor”.
A 3CX disse que está estendendo automaticamente as assinaturas dos clientes por três meses gratuitamente.
O incidente é o ataque mais proeminente à cadeia de suprimentos desde o ataque de 2020 a SolarWinds software, também conhecido como Sunburst, e 2021’s Ataque Kaseya. ®
.
