Communications unifiées : attaque sur la chaîne logistique du logiciel de 3CX

Fondé à Chypre en 2005 comme fournisseur de technologie IP PBX, 3CX compte plus de 12 millions d’utilisateurs finaux chez environ 600 000 clients. La liste de ces derniers comporte des entreprises multinationales telles qu’Air France, American Express, Carlsberg, Coca-Cola, Hilton, Honda, Ikea, PwC, Renault et Toyota. Tous sont concernés par une vaste cyberattaque impliquant la compromission du logiciel client de 3CX pour Windows et macOS.

L’alerte est apparue sur le canal Reddit de CrowdStrike dans l’après-midi de ce 29 mars 2023. L’éditeur indique avoir « observé une activité malveillante inattendue émanant d’un binaire légitimie, signé, 3CXDesktopApp – une application softphone de 3CX ». Cette activité malveillante peut prendre différentes formes : communications avec l’infrastructure de commande et de contrôle (C2) de l’attaquant, déploiement de charges utiles additionnelles, voire opérations manuelles. 

SentinelOne surnomme cette campagne « Smooth Operator ». Sous Windows, le softphone compromis permet notamment de déployer un logiciel dérobeur, un infostealer, chargé de collecter les enregistrées dans les navigateurs Web Chrome, Edge, Brave et Firefox.

Mais voilà, les communications avec l’infrastructure C2 ne survient pas tout de suite : l’implant est dormant durant 7 jours avant de commencer à communiquer. De quoi expliquer que les premières constatations soient survenues le 29 mars et que les premières mises à jour compromises datent du 22 mars. 

Certains EDR commençait d’ailleurs déjà à relever des anomalies à cette date, qu’il s’agisse de SentinelOne ou de Palo Alto Cortex, voire Eset, Sophos, SonicWall, et bien sûr CrowdStrike. Mais avant les alertes lancées ce 29 mars, les équipes de 3CX paraissaient reprocher aux éditeurs de solutions de protection des postes de travail de produire des faux positifs.

CrowdStrike attribue ces activités à l’acteur surnommé Labyrinth Chollima, un groupe qui présente des liens avec le nord-coréen Lazarus. Huntress relève un artefact, caché dans le code malveillant, connu pour être attribué à ces acteurs de la menace.

L’impact de cette campagne pourrait bien ne pas se faire sentir immédiatement, ni même avant longtemps. Car les données collectées par le composant dérobeur ne seront pas nécessairement exploitées dans l’instant.

Les grandes entreprises exposées dans le cadre de cette campagne sauront probablement comment réagir. Mais c’est sans compter avec toutes les organisations de taille plus modeste utilisant les solutions de 3CX.

En France, il faut par exemple compter avec environ 1 800 organisations disposant d’un sous-domaine sur les noms de domaines on3cx.fr, my3cx.fr ou 3cx.fr. Parmi ces organisations, des artisans, des cabinets d’avocats, des syndicats, des établissements scolaires, etc.