網絡電話方案商 3CX 上月被揭發植入後門,多間網絡安全公司指出,遭到北韓黑客在軟件供應應鏈植入 SmoothOperator 攻擊。事後 3CX 聘請 Google 旗下的網絡安全情報公司 Mandiant 調查,揭發首次有雙層供應鏈攻擊。
Mandiant 技術總監 Charles Carmakal 解釋這次調查的發現,首次在供應鏈攻擊之上,有另一個供應鏈攻擊。惡意軟件源頭來自交易軟件商 Trading Technologies 的《X_TRADER》的產品。3CX 有員工在 2022 年從 Trading Technologies 官方網站下載被感染的《X_TRADER》,安裝在公司的電腦,而不知受惡意軟件入侵。
這令公司的電腦同時安裝後門「VEILEDSIGNAL」,讓黑客擁有該電腦的完整管理權限和系統級權限,並作出橫向攻擊。黑客藉此盜取該員工在 3CX 系統的身分,繼而存取 Windows 和 Mac 版本的組建伺服器(build server),這便能夠植入惡意程式碼至 3CX 的軟件產品。
雖然 Trading Technologies 在 2020 年已淘汰《X_TRADER》,不過在 2022 年仍可在官方網站下載。Mandiant 懷疑 Trading Technologies 網站早在 2022 年初已遭北韓黑客「UNC4736」入侵。根據美國網絡安全及基礎設施安全局(CISA)的報告, Mandiant 認為北韓黑客「UNC4736」很大可能與 AppleJeus 惡意攻擊相關。
Charles Carmakal 表示,供應鏈攻擊的涉及範圍必定廣泛,過去例子有 2021 年底的 SolarWinds 事件。而今次更首次發現兩層供應鏈攻擊,3CX 擁有大量企業客戶,均是潛在的受害者。