Organizaciones del sector energético en Estados Unidos y Europa han sido víctimas de ciberataques dirigidos a sus sistemas de comunicación. Estos ataques han sido llevados a cabo por un grupo de hackers que utilizaron una vulnerabilidad en el software de telefonía 3CX para acceder a los sistemas de las empresas.
Los ataques han afectado principalmente a empresas del sector energético, pero también se han dirigido a otras organizaciones, como compañías de transporte y servicios públicos. Los expertos en seguridad recomiendan a las empresas afectadas que actualicen su software de telefonía y tomen otras medidas de seguridad para evitar futuros ataques.
Vulnerabilidad en el software 3CX
El 20 de abril, el boletín del CCN-CERT avisaba de forma oficial sobre la vulnerabilidad de la aplicación 3CX. Los informes de código malicioso asociados con la aplicación de escritorio 3CX, parte de la plataforma 3CX VoIP, comenzaron a registrarse el 22 de marzo de 2023. Pocos días después, 3CX confirmaba su compromiso señalando que las versiones afectadas de la aplicación de escritorio 3CX eran 18.12.407 y 18.12.416 para Windows y 18.11.1213, 18.12.402, 18.12.402, 18.12.402 y 18.12.416 para Windows, 11.1213, 18.12.402, 18.12.407 y 18.12.416 para Mac. La base de datos nacional de vulnerabilidades del NIST asignaba así el código CVE-2023-29059 al seguimiento de este problema.
Los informes indican que una de las bibliotecas de escritorio 3CX para Windows y Mac había sido alterada para ponerse en contacto con la infraestructura de control para distribuir malware de segunda fase. Según 3CX, los dominios maliciosos y el repositorio de GitHub habían sido retirados.
Sin embargo, a finales de marzo un ciberataque a la aplicación 3CX se detectaron vulnerables a millones de usuarios de BMW, Honda, Pepsi e Ikea en todo el mundo. Se trató de un ataque a la cadena de suministro para la descarga de una versión troyana de la aplicación 3CX en los equipos de las víctimas, convirtiendo a la aplicación de VoIP en un malware. Después de un mes, la vulnerabilidad del software 3CX volvió a afectar a la cadena de suministro, en este caso del sistema energético.
Lotem Finkelstein, Director de Inteligencia e Investigación de Amenazas en Check Point Software, ha aclarado que este tipo de ataque ha sido diseñado para explotar las relaciones de confianza entre una organización y sus proveedores, siendo este incidente un recordatorio de la importancia de preguntar a cada proveedor «qué está haciendo para mantener su producto o servicio ciberseguro y cómo limitan el riesgo para sus clientes, ya que con un ataque los cibercriminales comprometen a una organización llegando a la cadena de suministro».
Ciberataques al sector energético
Investigadores de la empresa de ciberseguridad Symantec revelaron que el software troyanizado de la empresa de servicios financieros Trading Technologies afectó a otras dos organizaciones del sector energético.
La existencia del ataque que utilizaba el software de Trading Technologies también fue comunicada por la empresa de ciberseguridad Mandiant, que rastreó la incidencia a la cadena de suministro de 3CX hasta un punto de acceso inicial: una versión maliciosa del software X_Trader descargada por un empleado de 3CX. Los hackers accedieron a las cuentas a través del software y luego lanzaron otro ataque que afectó a los clientes de 3CX.
Los investigadores de la empresa de ciberseguridad ESET han declarado que descubrieron herramientas de otra campaña de pirateo de Lazarus vinculadas al mismo servidor de mando y control implicado en el ataque a 3CX. Desde Symantec señalan que «los hackers que están detrás de estas brechas usaron recursos exitosos para atacar a la cadena de suministro y no se pueden descartar otras incidencias similares».
En cuanto a los pronósticos de cara a 2023, el CERT ICS de Kaspersky predice un cambio en las amenazas avanzadas persistentes (APT) contra las organizaciones y dispositivos inteligentes (OT), destacando la importancia de la educación en ciberseguridad para el personal del sector industrial, así como la necesidad de implementar medidas de seguridad adecuadas para protegerse contra estas amenazas.
«Los crecientes índices de los ataques al sector industrial, que se realizan mediante ingeniería social, parecen alarmantes», comenta Kirill Kruglov, investigador senior de Kaspersky ICS CERT, que recomienda a las empresas «que revisen su enfoque actual y comprueben si todos los sistemas de seguridad están actualizados y su personal está bien formado»
