Wann haben Sie sich das letzte Mal Gedanken darüber gemacht, dass ein vertrauenswürdiges Installationsprogramm versteckte Malware enthalten könnte? Die meisten IT-Teams konzentrieren sich auf Patches, Virenschutz, Schwachstellenscans und Netzwerkhärtung – also auf die üblichen Verdächtigen. Doch moderne Angreifer dringen zunehmend über einen Ort ein, an dem nur wenige nachschauen: legitime Installationsprogramme von seriösen Softwareanbietern.
Dieser Wandel ist nicht hypothetisch. Im Jahr 2023 bewies eine der meistdiskutierten Kompromittierungen im Bereich der Cybersicherheit – der 3CX-Angriff auf die Lieferkette – wie gefährlich diese Bedrohung geworden ist. Der Angriff begann nicht mit einem bösartigen Anhang oder einer infizierten Website. Er begann mit einer Software, der die Menschen glaubten, vertrauen zu können.
In diesem Artikel gehen wir der Frage nach, warum Angriffe durch legitime Installer auf dem Vormarsch sind, was uns der Fall 3CX lehrt und wie Unternehmen ihre Umgebungen schützen können, bevor der nächste Welleneffekt eintritt.
Die neue Ära der Bedrohungen in der Lieferkette
Seit Jahren wissen Cybersicherheitsteams, dass Angriffe auf die Lieferkette schwer zu erkennen und noch schwerer zu verhindern sind. Anstatt direkt in ein Unternehmen einzubrechen, suchen Angreifer nach den Tools, Bibliotheken oder Installationsprogrammen, auf die das Unternehmen angewiesen ist. Wenn sie die vorgelagerte Software kompromittieren können, kompromittieren sich die nachgelagerten Opfer selbst, indem sie einfach das herunterladen, was sie für sicher halten.
Was sich in den letzten Jahren geändert hat, ist der Einstiegspunkt. Die Angreifer konzentrieren sich nicht mehr nur auf die Infrastruktur der Anbieter oder auf Update-Server. Sie zielen zunehmend auf das Installationsprogramm selbst ab, indem sie genau die Datei verändern, die Unternehmen herunterladen, signieren und bereitstellen. Ein legitimes Update wird zu einem trojanischen Pferd – und da es mit dem Branding und der digitalen Signatur des Anbieters versehen ist, durchbricht es alle psychologischen und technischen Vertrauensschichten.
Seriöse Installer sollen die Nutzer beruhigen: vertraute Namen, gültige Zertifikate, vorhersehbares Verhalten. Sie wurden immer als der “sichere” Teil der Lieferkette betrachtet. Die 3CX-Kompromittierung hat jedoch bewiesen, dass dieses Vertrauen auch gegen uns verwendet werden kann. Wenn Angreifer bösartigen Code in ein Installationsprogramm einfügen, von dem Unternehmen erwarten, dass es sauber ist, bricht das gesamte Sicherheitsmodell zusammen – und die Gefährdung weitet sich sofort aus.
Wie es zu dem 3CX-Angriff kam
Um zu verstehen, warum der Angriff zu einem so entscheidenden Fall wurde, sollten wir die Zeitachse in einfachen Worten durchgehen. Die folgenden Informationen basieren auf der vom Threat Intelligence-Team von Google Cloud veröffentlichten Bedrohungsanalyse.
1. Die Angreifer haben nicht mit 3CX begonnen
Dies ist der überraschendste Teil.
Bevor die Angreifer 3CX angriffen, kompromittierten sie zunächst eine andere Software: X_TRADER, hergestellt von Trading Technologies.
Die Software wurde nicht mehr weiterentwickelt, doch das Installationsprogramm war auf der Website des Unternehmens noch immer verfügbar. Die Angreifer nutzten diesen verlassenen Installer, um Malware einzubetten und auf ein Opfer zu warten.
2. Ein 3CX-Mitarbeiter verwendete das kompromittierte Installationsprogramm
Irgendwann hat ein 3CX-Mitarbeiter die infizierte X_TRADER-Anwendung auf seinen Computer heruntergeladen oder benutzt. Da das Installationsprogramm legitim und digital signiert war, gab es für den Benutzer keinen Grund, Verdacht zu schöpfen.
Nach der Ausführung gewährte die Malware den Angreifern Zugriff auf den Rechner.
3. Die Angreifer wechselten vom Mitarbeiter zum Unternehmen
Nachdem die Angreifer auf dem Gerät des Mitarbeiters Fuß gefasst hatten, drangen sie tiefer in das 3CX-Netzwerk ein. Schließlich erreichten sie die Build-Umgebung – das System, das für die Erstellung offizieller 3CX-Versionen zuständig ist.
An dieser Stelle eskalierte die Situation.
4. Das 3CX-eigene Installationsprogramm wurde trojanisiert
Die Angreifer haben bösartigen Code in die 3CX Desktop App für macOS und Windows (bis Version 18.12.416) eingeschleust. Die kompromittierten Installationsprogramme enthielten:
- SUDDENICON, ein versteckter Downloader
- ICONICSTEALER, die datenklauende Nutzlast
Wenn Unternehmen die 3CX-Anwendung bereitstellten oder aktualisierten, befanden sich diese bösartigen Komponenten unbemerkt in dem legitimen Installationsprogramm.
5. Tausende von Unternehmen haben dem Update vertraut und es installiert
3CX ist weit verbreitet für Telefonie-, Chat- und Kommunikationssysteme auf der ganzen Welt. Als Kunden das trojanisierte Installationsprogramm von der offiziellen Website herunterluden, sah alles legitim aus:
- Offizieller Name des Verkäufers
- Gültige digitale Signatur
- Erwartete Dateigröße
- Erwartetes Verhalten
Hinter den Kulissen holte sich der bösartige Downloader jedoch zusätzliche Module, um Browserinformationen zu stehlen.
6. Google identifizierte die Bedrohung und deckte das Muster der “doppelten Lieferkette” auf
Die Bedrohungsanalyse-Teams von Google bezeichneten den Angriff als eine der ersten bestätigten doppelten Kompromittierungen der Lieferkette:
- Erster Kompromiss in der Lieferkette: X_TRADER-Installer.
- Zweiter Kompromiss in der Lieferkette: 3CX-Installer.
Diese “Ripple-Effekt”-Strategie zeigte ein neues Maß an Raffinesse. Sie bestätigte auch Verbindungen zu einem bekannten Bedrohungsakteur, der von Google als UNC4736 identifiziert wurde und mit früheren AppleJeus-Operationen in Verbindung steht.
Warum diese Angriffe wichtiger sind als je zuvor
Der Vorfall bei 3CX verdeutlicht letztlich eine grundlegende Wahrheit: Ihre Software-Lieferkette ist nur so sicher wie ihre schwächste Abhängigkeit. In diesem Fall wurde ein abgekündigtes Installationsprogramm – X_TRADER – zum ersten Stein in einer Kompromittierung, die später ein weit verbreitetes Unternehmenskommunikationstool betraf. Nichts an ihm sah gefährlich aus. Es war legitim, signiert und immer noch öffentlich verfügbar. Aber es wurde auch nicht überwacht, war veraltet und wurde nicht mehr sicherheitsrelevant.
Diese Kombination machte ihn zum perfekten Einstiegspunkt.
Genau das macht Angriffe über die Lieferkette durch legitime Installer so schwierig zu bekämpfen. Unternehmen können ihre Netzwerke absichern, strenge Richtlinien durchsetzen und seriösen Anbietern vertrauen – aber eine vergessene oder aufgegebene Abhängigkeit, die sich im Vorfeld befindet, kann all dies unbemerkt unterminieren. Und sobald sich Angreifer in die Build-Pipeline eingeschlichen haben, sieht das resultierende Installationsprogramm genauso vertrauenswürdig aus wie das echte.
Da Software-Ökosysteme immer stärker miteinander verbunden sind, werden diese übersehenen Abhängigkeiten zu hochwertigen Zielen. Sie sind leicht zu übersehen, leicht auszunutzen und verheerend, wenn sie als Waffe eingesetzt werden. Deshalb profitieren Unternehmen von klareren internen Prozessen, auch wenn sie nicht kontrollieren können, was vorgelagert passiert.
Schlussfolgerung
Moderne IT-Umgebungen sind komplex, schnelllebig und voller beweglicher Teile, die Sie mit Präzision verwalten müssen. Eine bessere Kontrolle darüber, wie Anwendungen Ihre internen Prozesse durchlaufen – von der Vorbereitung über die Paketierung bis zur Bereitstellung – kann diese Arbeit erheblich erleichtern. Wenn Ihr Tooling Konsistenz, Transparenz und gut strukturierte Arbeitsabläufe unterstützt, kann sich Ihr Team weniger auf die Suche nach Problemen konzentrieren, sondern vielmehr auf die zuverlässige Bereitstellung von Software in großem Umfang.
Wenn Sie auf der Suche nach einer zuverlässigeren Methode zur Verwaltung von Anwendungen sind, die den manuellen Aufwand reduziert, Rätselraten überflüssig macht und Ihnen einen klaren Überblick über die Vorgänge in Ihrem Softwarebestand verschafft, dann buchen Sie eine Demo mit unserem Spezialisten und sehen Sie, wie unsere Plattform einen saubereren, besser vorhersehbaren Arbeitsablauf für Ihr Team unterstützen kann.
