Symantec: Angriff hinter 3CX-Hack traf auch wichtige europäische Infrastruktur

Der 3CX-Cyberangriff traf zwei kritische Infrastrukturorganisationen in Europa und den USA. Dies hat das Threat Hunter-Team von Symantec nach einer Untersuchung festgestellt. Dabei handelt es sich um Organisationen aus dem Energiesektor. Darüber hinaus wurden auch zwei Organisationen aus dem Finanzsektor geknackt.

Alle Angriffe wurden mit einer kompromittierten Version der Finanzsoftware X_Trader durchgeführt. Wenn die Opfer die Setup.exe ausführen, können die Angreifer, die laut Symantec mit Nordkorea in Verbindung stehen, eine modulare Hintertür in den Systemen der Opfer installieren. Dadurch kann die Malware bösartigen Shellcode ausführen oder ein Kommunikationsmodul in Chrome-, Firefox- und Edge-Browsern platzieren, erklärte Symantec. Da der Entwickler der X_Trader-Software den Handel mit Futures, einschließlich Energie-Futures, ermöglicht, geht Symantec davon aus, dass der Angriff ein finanzielles Motiv hat.

Das Threat Hunter-Team bezeichnet den Angriff auf wichtige Organisationen als besorgniserregend, da von Nordkorea unterstützte Hackergruppen für ihre Cyberspionage bekannt sind. Symantec schließt daher nicht aus, dass die gehackten Organisationen zu einem späteren Zeitpunkt weiter ausgenutzt werden.

Um welche zwei kritischen Infrastrukturen es sich genau handelt, wird nicht erwähnt. Eine befindet sich in den USA, die andere in Europa. Bei beiden handelt es sich um „Energieversorger, die Energie erzeugen und in das Stromnetz einspeisen“, wie das Team gegenüber Bleeping Computer klarstellte. Da neben 3CX bereits mindestens vier weitere Unternehmen von der Software gehackt wurden, hält Symantec es für sehr wahrscheinlich, dass auch andere Unternehmen betroffen sind. „Die Angreifer, die hinter diesen Verstößen stehen, haben offensichtlich eine erfolgreiche Vorlage für Angriffe auf die Lieferkette und neue, ähnliche Angriffe können daher nicht ausgeschlossen werden.“

Ende März wurde bekannt, dass Angreifer den Desktop-Client von 3CX missbrauchten, um über einen Supply-Chain-Angriff Malware zu verbreiten. Die Malware ermöglichte das Abhören von Anrufen und Voicemail-Nachrichten. 3CX ist ein VoIP-Anbieter mit Kunden wie McDonald's und Coca-Cola sowie dem britischen Gesundheitssektor.