Cisco станали жертва на хакерска атака през май

Cisco Systems заявиха, че са станали жертва на хакерска атака през май тази година. Виновник за нея е била рансъмуер групата с името Yanluowang. Те са откраднали данни от мрежата на компанията, след което са поискали откуп за копираната от тях чувствителна информация. За разлика от други техни набези обаче, групата не инсталирала рансъмуер. От компанията заявяват, че в края на май те са засекли инцидент, засягащ сигурността и са предприели своевременни мерки, за да го ограничат.

„Cisco не откри да има нанесена щета на бизнеса ни в резултат от инцидента, в това число продукти на компанията, услугите, чувствителна клиентска информация или такава на нашите служители, интелектуална собственост или върху операциите ни, свързани с веригите за доставка“, споделя за медиите говорител на компанията. Yanluowang твърдят, че са копирали 2.8 GB данни, като списък на част от откраднатата информация е била публикувана на сайта им в началото на август.

Yanluowang са се сдобили с достъп до мрежата на Cisco, след като откраднали данни за вписване на служител на компанията. Това се е случило след превземане на Google акаунта на въпросния служител, който съдържал синхронизирана информация от браузъра му. Те подлъгали служителя с искане за одобряване на искане за вход чрез 2FA и проведен с него разговор по телефон с представители на бандата, които го подлъгали, че са от екипа за поддръжка към доверени за служителя компании. След това те се вписали в мрежата на Cisco чрез VPN акаунта на служителя и започнали криминалната си дейност.

„След като се сдобили със записите за вписване на служителя, атакуващата страна се опитала да преодолее мултифакторното удостоверяване на самоличността, използвайки различни техники, между които гласов фишинг (или т.нар. „вишинг“) и „MFA изтощаване“, процесът по изпращане на голям брой заявки за одобрение за вход към целевото мобилно устройство, докато жертвата приеме някоя от тях“, обясняват от екипа по сигурност към Cisco Talos Security. След използването на набор от програми за пробив и компрометирането на допълнително системи те успели да поемат контрола над домейн контролерите.

Въпреки сериозните усилия на атакуващата страна и нивото на достъп, което си осигурили, Talos свидетелстват, че действията им се ограничават единствено до кражбата на данни на въпросния служител. След като Cisco прекъснали достъпа на хакерите до мрежата им, хакерите опитвали да си осигурят многократно повторен достъп до мрежите, но без успех.

От анализа на атаката, метода на действие и инструментите, които използвали хакерите, Talos смятат, че става въпрос за известен „брокер на първоначален достъп“ (initial access broker, IAC), известен с връзките си с две други киберпрестъпни структури: UNC2447 и Lapsus. IAC са киберпрестъпна категория хакери, занимаваща се с пробив в мрежите на компании и бизнеси. След осигуряването си на достъп до тези мрежи – откраднати данни за вписване в корпоративната мрежа, VPN, връзки за отдалечен достъп и др., IAC продават този достъп на друг тип криминални структури, като например разпространители на рансъмуер. Що се отнася до UNC2447 и Lapsus$, то това са вече известни рансъмуер банди. Първите са известни с разпространяването на криптовируси от семействата на HELLOKITY, FIVEHANDS и др., докато Lapsu$ са известни с успешни атаки към Nvidia, Microsoft, Samsung и др.

Leave a Reply

Your email address will not be published.