Nederlandse organisaties zijn slachtoffer geworden van de supplychain-aanval op 3CX, waarbij aanvallers malware in de voip-software van het bedrijf wisten te verbergen, zo stelt securitybedrijf Fortinet. Dat baseert zich op telemetriegegevens van de domeinen waarmee de malware verbinding maakt. Daarnaast zijn er aanwijzingen dat de aanvallers al maanden toegang tot 3CX hadden.

3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. Het biedt onder andere een desktopapplicatie om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten verschillende versies van de software voor macOS en Windows van malware te voorzien. Deze malware kan aanvullende malware installeren, die informatie steelt en de aanvaller toegang tot het systeem geeft. Daarvoor wordt er met verschillende domeinen verbinding gemaakt.

Fortinet gebruikte de eigen telemetrie om verbindingen naar deze domeinen te analyseren. Vier procent van het verkeer naar de betreffende domeinen was afkomstig vanuit Nederland, aldus het securitybedrijf. Europa was in totaal goed voor zestig procent van al het verkeer, met Italië en Duitsland bovenaan het overzicht. Daarnaast blijkt dat de domeinen die voor de aanval werden gebruikt al in november 2022 waren geregistreerd, zo meldt security Volexity. De infrastructuur waar de besmette Windows-versie van de 3CX-app gebruikmaakte kwam op 7 december 2022 online.

Hoe de aanvallers toegang tot 3CX konden krijgen, alsmede verdere details over het incident, zijn nog altijd niet beschikbaar. Op dit moment vindt er een onderzoek plaats. 3CX heeft wel besloten om het abonnement van bestaande klanten kosteloos met drie maanden te verlengen.