Злоумышленники, взломавшие VoIP-приложение 3CX для персональных компьютеров, начали распространять через эту платформу вредоносное ПО второго уровня. Как сообщает ресурс Dark Reading, речь идёт о бэкдоре Gopuram, который применяется прежде всего для кражи информации.

Об атаке на 3CX, напомним, стало известно в конце марта 2023 года. Злоумышленники смогли интегрировать вредоносный код в Electron-приложение 3CX DesktopApp, а под угрозой оказались десятки тысяч бизнес-клиентов.

Источник изображения: pixabay.com

Анализ, проведённый специалистами «Лаборатории Касперского», говорит о том, что к взлому платформы 3CX причастна кибергруппировка Lazarus. Она использует методы, характерные для APT-атак, но специализируется на финансовых киберпреступлениях. Отмечается, что используемый злоумышленниками зловред Gopuram применяется преимущественно в атаках на компании, имеющие отношение к криптовалютам. Бэкдор содержит несколько модулей, которые могут использоваться для кражи данных, загрузки дополнительного вредоносного ПО, а также для запуска, остановки и удаления различных служб в системе жертвы.

«Лаборатория Касперского» отслеживает Gopuram как минимум с 2020 года, когда зловред был выявлен в IT-инфраструктуре, принадлежащей криптовалютной компании в Юго-Восточной Азии. Цель распространения бэкдора — кибершпионаж. Gopuram представляет собой полезную нагрузку второй ступени, которая предназначена для слежки за целевыми организациями. Разработчики приложения рекомендуют срочно удалить троянизированные версии программы 3CX DesktopApp и до выхода обновления использовать веб-клиент.

«Вместе с компанией Mandiant мы проводим полное расследование инцидента. Оно включает тщательную проверку безопасности нашего веб-клиента и приложения PWA. Инженеры Mandiant проверяют весь исходный код веб-приложения и приложения Electron на наличие возможных уязвимостей», — заявляет 3CX.

Компания 3CX предупреждает о том, что неизвестные злоумышленники смогли встроить вредоносный код в её приложение для VoIP-телефонии. Под угрозой оказались десятки тысяч корпоративных пользователей: инфицирование может происходить при загрузке установочного пакета программы с официального сайта или при доставке обновления для уже имеющегося клиента.

Проблема затрагивает приложение 3CX DesktopApp для персональных компьютеров. Вредоносный код присутствует в сборках 18.12.407 и 18.12.416 для Windows и в версиях 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 для macOS. «Проблема, по-видимому, связана с одной из библиотек, которую мы интегрируем в Windows Electron App через GIT. Мы всё ещё изучаем этот вопрос», — говорится в уведомлении 3CX.

Источник изображения: pixabay.com

«Лаборатория Касперского» раскрывает схему атаки. После загрузки инсталлятора или получения апдейта в систему жертвы проникает троян, создающий несколько вредоносных библиотек. Далее зловред скачивает с GitHub файлы, в которых спрятаны дополнительные данные. На основе этих инструкций производится скачивание финальной вредоносной нагрузки. Злоумышленники могут собирать сведения о системе, а также воровать информацию из ряда браузеров — Chrome, Edge, Brave и Firefox. Кроме того, киберпреступники могут активировать командную оболочку, которая теоретически даёт почти неограниченную свободу действий.

«Домены, к которым обращалась взломанная библиотека, уже известны. Большинство из них уже отключены. Репозиторий GitHub, в котором они упомянуты, также был закрыт. Сейчас мы работаем над новым приложением для Windows, в котором эта проблема отсутствует. Мы также выпустим новый сертификат для нашего приложения», — сообщает 3CX.

Нужно отметить, что количество установок VoIP-приложения 3CX превышает 600 тыс. по всему миру. Среди многочисленных известных клиентов 3CX присутствуют такие компании, как American Express, Avis, Coca Cola, Honda, McDonald's, Pepsi и Toyota. Ежедневно решениями 3CX пользуются более 12 млн человек. Клиентам рекомендуется воспользоваться PWA-версией приложения вместо Electron-версии. К расследованию уже привлекли компанию Mandiant.

Компания Eltex сообщила об успешном тестировании и организации серийного производства VoIP-шлюза TAU-8N.IP корпоративного уровня. Устройство поможет подключить аналоговое телефонное оборудование к локальной VoIP-сети и объединить её с географически удалёнными VoIP-инфраструктурами. Возможна работа как в режиме изолированной офисной мини-АТС, так и интеграция с IP PBX.

Новинка оснащена четырёхъядерным процессором Amlogic, двумя Ethernet-портами RJ-45 10/100 Мбит/с (один для подключения, второй для управления), разъёмом USB для подключения накопителя с томом FAT/FAT32/NTFS и восемью портами FXS. В оснащение входят 512 Мбайт оперативной памяти и флеш-модуль такой же ёмкости. Технология хранения двух образов прошивки Dual Image повышает надёжность. Габариты составляют 208 × 38 × 115 мм, вес — 0,3 кг. Диапазон рабочих температур простирается от +5 до +40 °С. Энергопотребление не превышает 14 Вт.

Источник изображений: Eltex

Обеспечивается поддержка до пяти локальных трёхсторонних конференций. Высокое качество передачи голоса обеспечивается применением основных для VoIP-сетей аудиокодеков и механизмов приоритизации трафика QoS, а также поддержкой функций эхокомпенсации, детектора речевой активности, генератора комфортного шума, приёма и генерации сигналов DTMF. Новинка предлагает кодеки G.711 (a-law, µ-law), G.723.1 и G.729 (А/B). Передача факсимильных сообщений возможна благодаря поддержке G.711 pass-through и протоколу T.38.

Поддерживается гибкий план нумерации для FXS-портов и SIP-профилей, dialplan'ы, групповые вызовы, различные варианты переадресации, удержание и передача вызовов и т.д. Поддерживается DHCP (Option 120 и др.), PPPoE, VLAN, статическая маршрутизация. Защита обеспечивается встроенным брандмауэром, парольным доступом и разграничением прав. Управляется устройство через веб-интерфейс, а также посредством SSH, Telnet или TR-069.

IP-телефония, которая реализована практически в каждой организации, слишком открыта для атак злоумышленников. Об этом свидетельствует исследование, проведённое компанией «Информзащита».

По словам экспертов, мошенничество с IP-телефонией основывается на взломе корпоративных автоматических телефонных станций, функционирующих по общедоступным протоколам SIP. Задача атакующих — путём подбора логина и пароля получить доступ к телефонной сети, чтобы использовать её в собственных целях. На этапе развёртывания систем IP-телефонии учётным записям для протокола SIP, как правило, присваиваются простые пароли. Этим и пользуются киберпреступники.

Источник изображения: Mitel Networks (mitel.com)

«Можно выделить два направления таких атак: первое — прослушивание звукового трафика с целью шпионажа, второе — совершение несанкционированных междугородних и международных звонков на привилегированные номера с целью монетизации, — поясняют специалисты «Информзащиты». — В расследованном нами случае произошёл второй вариант мошенничества: злоумышленники арендовали у оператора сотовой связи премиальные номера и совершали на них дорогостоящие звонки с телефонов взломанной организации».

«Информзащита» призывает компании обратить серьёзное внимание на защиту своей коммуникационной IP-инфраструктуры и подключённого к ней оборудования. «Рецепт защиты укладывается в общие принципы информационной безопасности: устойчивые пароли, обновление софта и оборудования, ежедневный анализ журнала вызовов за пределы организации (биллинг), разграничение доступа к междугородним и международным звонкам с телефонных номеров организации. Ну и, конечно, необходимо иметь под рукой контакты специалистов по расследованию киберинцидентов. На всякий случай», — отмечают эксперты.

CompTek и Yeastar заключили соглашение о партнёрстве. Теперь в каталоге дистрибьютора наиболее полный в России ассортимент продукции Yeastar, причём CompTek предлагает и комплексные IT-решения с использованием данного оборудования, а также пред- и постпродажное обслуживание.

Yeastar, основанная в 2006 году, на сегодня является одним из лидеров в области гибридных IP-АТС и VoIP-шлюзов. Решения компании ориентированы на малый и средний бизнес и отличаются простотой управления, надёжностью и производительностью, а также поддержкой всех необходимых стандартов и протоколов связи. Оборудование компании уже адаптировано для российского рынка.

Серия IP-АТС Yeastar включает как компактные настольные решения, рассчитанные на малое число пользователей, так и стоечные системы. Отличительной чертой является возможность лёгкого и гибкого расширения возможностей каждой системы путём добавления модулей для увеличения числа пользователей и одновременных сессий и модулей для добавления портов FXO/FXS, PRI (T1/E1), BRI и транков GSM/WCDMA/LTE. Кроме того, доступны и отдельные внешние шлюзы для интеграции этих же портов/каналов в имеющуюся VoIP-систему.

Британский оператор Openreach, входящий в телекоммуникационный холдинг BT, собирается к 2025 году отключить коммутируемую телефонную сеть общего пользования (Public Switched Telephone Network, PSTN) и перевести абонентов на IP-телефонию. Это решение может иметь большие последствия для страны.

В Великобритании работает множество компаний, которые пользуются обычными телефонными линиями. Для них даже день без связи может обернуться большими убытками и сильным ударом по репутации, поэтому они могут переключиться на новый канал связи только ночью. Кроме того, есть немало представителей незащищённых слоёв населения, которые могут обратиться за помощью только по PSTN.

Руководитель направления услуг проводной связи Openreach Джеймс Лилли (James Lilley) говорит, что компания сама до конца не знает, где используются все PSTN-сервисы. Также неясно, будет ли развёрнутое оборудование совместимо с новой VoIP-службой.

По словам Лилли, с тех пор, как Openreach впервые объявила о планах отказаться от PSTN в прошлом году, около миллиона человек перестали пользоваться этой услугой, но, когда это сделают остальные, на рынке произойдёт мощный сдвиг. Он сравнил масштаб проекта с переходом от аналогового к цифровому телевидению в 2007 году. Однако тогда миграция происходила при государственной финансовой поддержке, в то время как сейчас переход ложится на плечи операторов.

Openreach не работает с пользователями телеком-услуг напрямую, а сотрудничает более чем с 600 операторами связи, которые должны будут донести до абонентов необходимость использования VoIP. В рамках реализации этого проекта будет отключено около 15 млн традиционных медных телефонных линий, которые будут заменены на оптоволоконные интернет-каналы.