Společnost Cisco čelila kybernetickému útoku.
Odcizeno bylo údajně 2,8 GB dat.
K průniku do společnosti Cisco byly použity ukradené přihlašovací údaje zaměstnance
Společnost Cisco Systems, Inc. 10. srpna 2022 oznámila, že čelila kybernetickému útoku hackera s vazbami na gang ransomwaru UNC2447, kyberzločineckou skupinu Lapsus$ a provozovatele ransomwaru Yanluowang.
V příspěvku na blogu společnost Cisco Talos, která se zabývá zpravodajstvím o hrozbách, uvedla, že se o útoku dozvěděla 24. května. Uvedla, že hacker použil přihlašovací údaje zaměstnance společnosti Cisco a „provedl sérii sofistikovaných hlasových phishingových útoků“, přičemž nakonec získal přístup do podnikové sítě společnosti.
„10. srpna zveřejnil útočník na temném webu seznam souborů z tohoto bezpečnostního incidentu,“ uvedla společnost Cisco v samostatném prohlášení.
Incident se týkal pouze firemního IT
Jakmile hacker pronikl do podnikové sítě, zaútočil i na servery Citrix a řadiče domén. „Přesunuli se do prostředí Citrix, kompromitovali řadu serverů Citrix a nakonec získali privilegovaný přístup k řadičům domény,“ uvedla společnost Cisco Talos. Po získání doménového administrátora použili nástroje pro sčítání a do napadených systémů nainstalovali řadu kompromitujících souborů, včetně malwaru backdoor.
Společnost Cisco uvedla, že nezjistila žádný dopad tohoto incidentu na podnikání společnosti, a ani na produkty či služby společnosti. Incident se rovněž nedotkl citlivých údajů o zákaznících nebo citlivých informací ohledně zaměstnanců, duševního vlastnictví nebo provozu dodavatelského řetězce. Společnost odhalila, že jediná úspěšná exfiltrace dat, ke které během útoku došlo, zahrnovala pouze necitlivá data ze složky služby Box propojené s účtem napadeného zaměstnance.
Pokus o opětovný přístup
Společnost Cisco útočníka odhalila a odstranila ze svého prostředí, ale ten se v následujících týdnech stále pokoušel získat přístup zpět.
„Po získání počátečního přístupu provedl hacker řadu činností, aby si udržel přístup a zvýšil úroveň svého přístupu k systémům v prostředí, tyto pokusy však byly neúspěšné“ dodala společnost Cisco Talos.
V systémech společnosti Cisco nebyl nasazen žádný ransomware
Společnost Cisco také uvedla, že ačkoliv je gang Yanluowang známý tím, že šifruje soubory svých obětí, během útoku nenašla žádné důkazy o použití ransomwaru.
„Ačkoliv jsme při tomto útoku nezaznamenali nasazení ransomwaru, použité TTP odpovídaly předransomwarové aktivitě, tedy aktivitě běžně pozorované před nasazením ransomwaru v prostředí obětí,“ uvedla společnost Cisco Talos.
Hacker tvrdí, že ukradl zdrojový kód společnosti
Po zveřejnění této údálosti sdělil útočník, který za narušením stojí, serveru BleepingComputer, že během kybernetického útoku ukradl zdrojový kód.
Jako důkaz hacker sdílel snímek obrazovky konzole správce VMware vCenter na adrese cisco.com. Tento panel vCenter zobrazuje řadu virtuálních počítačů, včetně jednoho pojmenovaného jako server GitLab, který používá CSIRT společnosti Cisco.
Společnost Cisco však uvedla, že „nemá žádné důkazy o tom, že by během útoku došlo k odcizení zdrojového kódu“.
Příběh s dobrým koncem?
Společnost Cisco Systems, Inc. je jedna z největších počítačových firem dnešní doby a dominující hráč na poli síťových prvků. I s ohledem na to je zcela zřejmé, že do kybernetické ochrany vkládá jistě nemalé prostředky. A jak je vidět, tak se jí to vyplatí. Díky důrazu na prevenci společnost Cisco totiž tento kybernetický útok, zdá se, „ustála“.