3CX, Mandiant’ın Kuzey Kore merkezli olduğundan şüphelenilen tehdit aktörleriyle bağlantılı tarihi bir tedarik zinciri saldırısını ortaya çıkaran bir raporunun ardından, yedi noktalı bir planın parçası olarak ağ güvenliğini sağlamlaştırmak için büyük bir çaba başlattı.
3CX, bir çalışanın daha önce kötü amaçlı bir siber saldırının hedefi olan bir finansal yazılım şirketi olan Trading Technologies’den güvenliği ihlal edilmiş bir yazılım indirmesinin ardından bir tedarik zinciri saldırısına uğradı. Soruşturma Perşembe günü yayınlandı. 3CX, olaylara müdahale çabalarının bir parçası olarak Mandiant’ı işe aldı.
“Mandiant’ın soruşturması devam ederken, artık saldırı hakkında net bir genel anlayışa sahibiz.” Agathocies Prodromou, 3CX ağ yöneticisidedi bir Blog yazısı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı da bir kötü amaçlı yazılım analiz raporu yayınladı 3CX saldırısında kullanılan bir bilgi hırsızı olan IconicStealer’da. Yetkililer, saldırıyı hafifletme çabalarına övgüde bulunarak, daha feci bir sonucun muhtemelen önlendiğine dikkat çekti.
Bir ajans sözcüsü e-posta yoluyla “CISA, bu izinsiz giriş kampanyasının etkilerini anlamak için hükümet ve özel sektör ortaklarıyla çalışmaya devam ediyor” dedi. “Birçok durumda, siber güvenlik topluluğunun olağanüstü çalışması, birçok potansiyel kurban için önemli zararları önledi.”
3CX CEO’su Nick Galea şirketin, şirket ağını güçlendirmek ve prosedürleri geliştirmek için tasarlanmış yedi adımdan oluşan EFTA Güvenlik Tüzüğü adını verdiği taslağı hazırladığını söyledi. Değişiklikler aşağıdakilere yönelik çabaları içerir:
- Sertleştirilmiş ve izole edilmiş özel olarak ayrılmış bir yapı ortamı oluşturun. Bu çaba, 7/24 tesis dışı izlemeyi kullanma, EDR izleme araçlarını uygulama ve sıfır güven modeline dayalı daha katı erişim politikaları sağlama planlarını içerir.
- Artan statik ve dinamik kod analizi ile yapı güvenliğini yenileyin ve olası kod imzalama ve izleme çözümlerini değerlendirin.
- Güvenlik açıklarını belirlemek için Mandiant ile sürekli bir ürün güvenlik incelemesi yürütün. Buna web istemcisi, Electron uygulaması ve dahili API ve iletişim kitaplıkları dahildir.
- Aşamalı web uygulamasını tercih edilen seçenek olarak içerecek olan güncelleme 7A’yı gelecek hafta yayınlayın. Şirket ayrıca karma parolalar ekliyor ve karşılama e-postasından parolaları kaldırıyor.
- Ağa, çevrimiçi uygulamalara ve ürüne yönelik devam eden sızma testlerini yürütmesi için bir firmayı işe almak.
- Bir kriz yönetimi ve uyarı işleme planını resmileştirin.
- Doğrudan CEO’ya rapor verecek olan Prodromou tarafından yönetilen özel bir ağ operasyonları ve güvenlik departmanı oluşturun.