L’attaque de la chaîne d’approvisionnement X_Trader, à l’origine de la compromission de 3CX le mois dernier, n’est pas confinée au développeur de télécoms, selon Symantec.

« A ce jour, [nous] avons découvert que parmi les victimes se trouvent deux organisations d’infrastructures critiques dans le secteur de l’énergie, l’une aux États-Unis et l’autre en Europe. En outre, deux autres organisations impliquées dans la finance ont également été attaquées », déclare Symantec, sans donner de noms.

Pour rappel, 3CX a vu son système téléphonique 3CX DesktopApp compromis par une version trojanisée de l’application de négociation de contrats à terme X_Trader éditée par Trading Technologies.

Les produits VoIP de 3CX sont utilisés par des centaines de milliers d’entreprises et institutions, y compris Air France, Mercedes Benz, Coca-Cola ou encore le National Health Service (NHS) au Royaume-Uni.

Nick Galea, le PDG et fondateur de 3CX, avoue que la compromission de la chaîne d’approvisionnement de sa solution de VoIP n’a pas été détectée aussi rapidement qu’elle aurait pu l’être car ses équipes de sécurité – ainsi que de nombreux·ses utilisateur·rice·s – ont d’abord pensé que les alertes étaient des faux positifs.

On ne sait toujours pas exactement où et quand l’attaque de la chaîne d’approvisionnement a commencé mais Symantec estime qu’elle est motivée par des raisons financières et qu’elle vise des infrastructures critiques. Selon Symantec, ce type d’attaque – une mission d’espionnage associée à une motivation financière – correspond aux habitudes de la Corée du Nord.

La Corée du Nord avait déjà attaqué le programme d’installation de X_Trader en 2021 pour installer la porte dérobée VeiledSignal. Or, l’analyse technique du logiciel malveillant réalisée par Symantec et Mandiant a révélé des traces de VeiledSignal dans la chaîne d’attaques utilisée pour compromettre les installations de 3CX DesktopApp.

Symantec a publié une liste d’indicateurs de compromission (IOC) avec son analyse du logiciel malveillant et avertit : « Il n’est pas exclu que des organisations d’importance stratégique ayant fait l’objet d’une première intrusion soient ciblées en vue d’une exploitation ultérieure. »