Aanvallen op de toeleveringsketen zijn een groeiende en steeds geraffineerdere vorm van cyberdreiging. Ze zijn gericht op het complexe netwerk van relaties tussen organisaties en hun leveranciers, verkopers en externe dienstverleners. Deze aanvallen maken gebruik van kwetsbaarheden die ontstaan door de onderlinge verbondenheid van digitale toeleveringsketens, die vaak meerdere organisaties, systemen en regio’s omvatten.
Door een vertrouwde component of software binnen de toeleveringsketen aan te tasten, kunnen kwaadwillende actoren de doelorganisatie infiltreren, waarbij ze traditionele verdedigingsmechanismen omzeilen en slachtoffers verrassen. Nu de wereld steeds afhankelijker wordt van wereldwijde, onderling verbonden digitale toeleveringsketens, is het begrijpen van de risico’s en gevolgen van een aanval op de toeleveringsketen cruciaal voor het handhaven van de beveiliging en veerkracht.
In maart was de 3CX-aanval gericht op Windows- en macOS-desktop-apps, waardoor bezorgdheid ontstond over de integriteit en veiligheid van de toeleveringsketen van de software. De aanvallers slaagden erin de apps te compromitteren door een geïnfecteerd bibliotheekbestand te bundelen, dat vervolgens een versleuteld bestand met Command & Control-informatie downloadde. Hierdoor konden de aanvallers kwaadaardige activiteiten uitvoeren binnen de omgeving van het slachtoffer.
Het feit dat de schadelijke versies van de apps waren ondertekend met geldige 3CX-certificaten suggereert dat de build-omgeving van het bedrijf mogelijk was gecompromitteerd. Dit resulteerde in de distributie van gemanipuleerde apps rechtstreeks vanaf de downloadservers van 3CX. Dit benadrukt de kwetsbaarheid van softwaretoeleveringsketens, aangezien zelfs een ogenschijnlijk kleine inbreuk verstrekkende gevolgen kan hebben voor klanten die vertrouwen op de software.
De aanval op de 3CX-communicatiesoftware heeft geschiedenis geschreven als het allereerste publiekelijk gedocumenteerde incident waarbij de ene supply chain-aanval leidde tot de andere. Twee kritieke infrastructuurorganisaties in de energiesector en twee organisaties in de financiële sector behoren tot de bevestigde slachtoffers.
Eset schrijft over dit onderwerp een interessant blog https://www.welivesecurity.com/en/cybersecurity/recovering-from-a-supply-chain-attack-what-are-the-lessons-to-learn-from-the-3cx-hack/
