Nick Galea, le PDG et fondateur de 3CX, avoue que la compromission de la chaîne d’approvisionnement de sa solution de VoIP n’a pas été détectée aussi rapidement qu’elle aurait pu l’être, car ses équipes de sécurité – ainsi que de nombreux·ses utilisateur·rice·s – ont d’abord pensé que les alertes étaient des faux positifs. Elles ont estimé que le logiciel de sécurité des points d’accès réagissait à tort plutôt que de soupçonner que le logiciel de 3CX avait été victime d’une cyberattaque.
SentinelOne et CrowdStrike avaient pourtant bien déterminé les 22 et 29 mars une activité malveillante provenant de l’application de 3CX mais les utilisateur·rice·s et l’équipe d’assistance de 3CX ont tardé à prendre la nouvelle au sérieux en raison de nombreuses fausses alertes de systèmes de sécurité par le passé.
Face au fort volume d’alertes depuis le début de la pandémie de Covid-19, des études indiquent que les équipes opérationnelles de sécurité, souvent surchargées, sont susceptibles de ne pas réagir immédiatement à des alertes critiques et/ou de les considérer comme des faux positifs.
De plus, la société 3CX dit avoir vérifié son application sur le site d’agrégation d’antivirus VirusTotal et avoir obtenu un feu vert de la part de VirusTotal.
De ce fait, le PDG de 3CX a déclaré à CyberScoop qu’il était probable que des centaines de milliers de clients aient téléchargé la version malveillante du logiciel de système téléphonique VoIP de l’éditeur.
Bien que Crowdstrike ait identifié le groupe Labyrinth Chollima de Corée du Nord comme le responsable le plus probable de l’attaque, 3CX a seulement précisé que « l’incident avait été mené par un pirate informatique très expérimenté et bien informé ». La société a engagé Mandiant pour mener une enquête approfondie suite à l’attaque.
Par ailleurs, 3CX a déclaré qu’elle prolongeait automatiquement et gratuitement de trois mois les abonnements de ses clients.