3CX temsilcisi, kötü niyetli tespit hakkında "Bu konuda yorum yapmak bize düşmez" diyor.
"3CX'in SentinelOne ile iletişime geçmesi iyi olmaz mıydı?"
Hmmm... hem 3CX hem de SentinelOne kullanan kişi sayısı arttıkça aynı sorunla karşılaşılır. 3CX'ten biri olarak SentinelOne ile iletişime geçip bunun yanlış bir pozitif olup olmadığını anlasanız iyi olmaz mıydı? - Sağlayıcıdan sağlayıcıya - yani sonunda, siz ve topluluk bunun hala sağlam olup olmadığını bilecek misiniz?
3CX destek temsilcisi şu yanıtı verdi:
Kulağa ideal gibi gelse de, dışarıda binlerce olmasa da yüzlerce AV çözümü var ve bir olay meydana geldiğinde onlara her zaman ulaşamıyoruz. Uygulamamız için Electron çerçevesini kullanıyoruz, belki de işlevselliği varsa bazılarını engelliyorlar mı?
Muhtemelen anladığınız gibi, yazılımları ve aldığı kararlar üzerinde hiçbir kontrolümüz yok, bu yüzden bu konuda yorum yapmak bizim yerimiz değil. En azından bu durumda, SentinelOne müşterilerinin güvenlik yazılımı sağlayıcılarıyla iletişime geçip bunun neden olduğunu öğrenmelerinin daha mantıklı olduğunu düşünüyorum. Bir yanıt alırsanız bulgularınızı buraya göndermekten çekinmeyin.
Dünyanın, SentinelOne'ın haklı olduğunu ve yanlış pozitif olduğundan şüphelenen kişilerin haksız olduğunu öğrenmesi için bir 24 saat daha geçmesi gerekecekti.
Daha önce bildirildiği üzere, Kuzey Kore hükümetine bağlı bir tehdit grubu, 3CX yazılım oluşturma sistemini tehlikeye attı ve kontrolü, Windows ve macOS için şirketin DesktopApp programlarının Truva Atılaştırılmış sürümlerini zorlamak için kullandı. Kötü amaçlı yazılım, virüslü makinelerin aktör tarafından kontrol edilen sunuculara işaret etmesine ve bilinmeyen kriterlere bağlı olarak, ikinci aşama yüklerin belirli hedeflere konuşlandırılmasına neden olur. Birkaç durumda, saldırganlar virüs bulaşmış makinelerde "klavyede uygulamalı etkinlik" gerçekleştirdi, yani saldırganlar makinelerde komutları manuel olarak çalıştırdı.
3CX ve kullanıcıları tarafından dikkate alınmayan algılamayı içeren döküm, hem destek ekipleri hem de son kullanıcılar için uyarıcı bir hikaye işlevi görmelidir, çünkü genellikle şüpheli etkinlikle ilk karşılaşanlar onlardır. 3CX temsilcileri, bu hikaye için yorum isteyen bir mesaja yanıt vermedi.
18 Nisan Güncellemesi: Bu gönderi yayına girdikten sonra gönderilen e-postalarda, 3CX kurucusu, CEO'su ve CTO'su Nick Galea şunları yazdı: "İlk uyarıyı kendim gördüm ve yanlış pozitif olarak dikkate almadım. Bu açıkça yanlıştı. Savunmamda bir voip uygulaması oldukça düzenli olarak yanlış bir pozitif olarak işaretleniyor, ancak kararım için kesinlikle hiçbir mazeret yok."
Galea, uyarıların başlamasından sonraki günlerde şirketin işaretli yazılım güncellemesini VirusTotal'da "birkaç kez" taradığını söyleyerek devam etti. "Diğer 40 virüs motorunun hiçbiri dosyayı kötü amaçlı olarak işaretlemedi, bu yüzden onu yanlış bir pozitif olarak değerlendirdik" diye yazdı. 3CX'teki herhangi birinin algılamayı tartışmak için SentinelOne ile iletişime geçip geçmediğini söylemedi.