De malware in de recente update van het populaire voip-pakket 3CX is daar mogelijk geplaatst in opdracht van een andere dan Nederlandse overheid, of 'state actor' in het jargon. Dat meldt Pierre Jourdan, ciso bij 3CX. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor deze trojan, ofwel 'slechte' code die zich later openbaart.
3CX is een toepassing voor telefonie, videobellen en live-chat. Wereldwijd gebruiken meer dan zeshonderdduizend organisaties de tool, waarvan zowel een desktop- als een webversie bestaat. De desktopvariant kreeg eerder deze maand een software-update. Later bleek dat malware was verwerkt in een van de gebundelde library’s die 3CX in Github compileerde tot de Windows-app Electron. Hoe dit kon gebeuren, wordt onderzocht.
3CX-ciso Jourdan houdt er rekening mee dat de plaatsing van de malware een aanval van een overheid was. ‘Het lijkt een gerichte aanval te zijn geweest van een advanced persistent threat’, schrijft hij. ‘Misschien zelfs eentje gesponsord door een staat, die een complexe ketenaanval uitvoerde en uitzocht wie de volgende onderdelen van hun malware zou downloaden. De overgrote meerderheid van de systemen zijn nooit geïnfecteerd, hoewel de bestanden in ruststand aanwezig waren.’
Certificaat geblokkeerd
De fabrikant werkt aan een nieuwe versie van de update, waarin geen malware zit. Dit duurt een tijdje. De oude update is niet meer beschikbaar, ook niet vanuit de Github-repository. Een extra uitdaging bij het herstel van de update is dat Google het softwaresecurity-certificaat van 3CX momenteel blokkeert. Verscheidene antivirusproducten blokkeren eveneens alle software die is voorzien van het oude securitycertificaat.
Zowel het NCSC als de fabrikant adviseren gebruikers om de desktopversie van 3CX volledig te verwijderen en de webapplicatie te gebruiken totdat een herziene update van de desktoptoepassing beschikbaar is. Op deze webpagina van het NCSC staan tips over hoe gebruikers hun ict-omgeving kunnen controleren op sporen van de malware.
