¿Por qué es importante el ciberataque a 3CX?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
El 29 de marzo de 2023, la empresa 3CX, un proveedor de videoconferencias, PBX y aplicaciones de comunicación empresarial para sistemas Windows, macOS y Linux, fue alertada sobre atacantes que estaban explotando una vulnerabilidad en sus productos, los cuales estaban comportándose de manera inadecuada. Esto fue reportado por personas que usaban una aplicación de escritorio de 3CX, que un intruso había vulnerado en secreto, con un código malicioso, en un ataque clásico a la cadena de suministro.
El ciberatacante es presuntamente Lazarus, grupo que comprometió la aplicación de escritorio VoIP de 3CX para distribuir software de robo de información a los clientes de la compañía, para posteriormente pasar a una segunda fase en donde distribuyeron una puerta trasera en sus sistemas.
La puerta trasera, llamada Gopuram, contiene múltiples módulos que los ciberatacantes pueden usar para filtrar datos, instalar malware adicional, iniciar, detener y eliminar servicios, e interactuar directamente con los sistemas de las víctimas. Los investigadores detectaron el malware en un puñado de sistemas que ejecutan versiones comprometidas de 3CX DesktopApp. Un grupo de analistas, además, mencionan que los ciberatacantes podrían haber explotado una vulnerabilidad de Windows de hace 10 años, conocida como CVE-2013–3900.
El propósito de la puerta trasera es realizar espionaje cibernético, pues se trata de una carga útil de segunda etapa lanzada por los atacantes para espiar a las organizaciones objetivo, las cuales, en general, se encuentran en Europa (Italia, Alemania, Austria, Suiza, Países Bajos, Reino Unido) y Estados Unidos.
Este ataque en su segunda fase añade otra novedad al ataque, pues la empresa 3CX afirma que alrededor de 600 mil organizaciones en todo el mundo, con más de 12 millones de usuarios diarios, actualmente utilizan su aplicación de escritorio.
Una vez en un sistema, la aplicación de escritorio 3CX vulnerada ejecuta el instalador malicioso, que luego inicia una serie de pasos que terminan con la instalación de un malware que roba información en el sistema comprometido. En este caso sólo un atacante con un alto nivel de acceso al entorno de desarrollo o construcción de 3CX habría podido introducir el código malicioso y pasar desapercibido.
Aparentemente, Lazarus también usó un error de 10 años para agregar un código malicioso a una DLL de Microsoft sin invalidar la firma, por lo que el mejor consejo para las organizaciones en este momento sería aplicar el parche de Microsoft para CVE-2013–3900 si aún no lo han hecho.
En particular, las organizaciones que podrían haber reparado la vulnerabilidad cuando Microsoft lanzó por primera vez una actualización tendrían que hacerlo nuevamente si tienen Windows 11. Eso se debe a que el sistema operativo más nuevo deshizo el efecto del parche.
Con respecto a las actualizaciones de CVE-2013–3900 específicamente, se recomienda que los usuarios evalúen el entorno de su sistema y sigan los pasos y las acciones sugeridas descritas en los avisos de seguridad de Microsoft.
Cabe mencionar que Lazarus (o DarkSeoul) nació en Corea del Norte en el año 2009 y se encuentra financiado, respaldado y patrocinado por dicho gobierno. El grupo se divide en varios subgrupos, como BlueNorOff (APT38) y AndAriel y lleva a cabo una amplia campaña de recopilación de información y de inteligencia.
En principio, estos ataques se habían dirigido hacia organizaciones de investigación médica, sector energético, fabricantes de tecnología, sector defensa y sector de ingeniería química, con fines de espionaje, pero las capacidades del grupo criminal los están llevando a identificar y vulnerar objetivos que utilizan el sistema de correo Zimbra y que no han instalado los parches de seguridad emitidos por el mismo fabricante.
Los motivos de Lazarus son de espionaje, inteligencia y, principalmente, económicos pues representa una importante fuente de ingresos para el gobierno norcoreano. Algunos de los ataques destacados de Lazarus incluyen el robo de información del chip M1 de Apple, así como ataques a compañías como Sony Pictures, Samsung, Harmony, SWIFT e instituciones financieras, entre otros objetivos.
Para más información, visita: https://www.silikn.com/