Cisco’nun hacklendiği ortaya çıktı. Cisco’nun Talos Intelligence Group’unun doğruladığı olay, Yanluowang fidye grubunun mayıs sonunda şirketin sistemlerini hacklediği ve çaldığı bilgileri sızdırma tehditi ile fidye istediği şeklinde açıklandı. Arkasından da hackerlar Cisco’dan çalındığını söylediği dosyaların bir kısmını yayınladı.
Talos olayı anlattığı blog gönderisinde Cisco’nun potansiyel bir güvenlik açığından ilk olarak 24 Mayıs’ta haberdar edildiğini ve daha sonra bu açığın onaylandığını açıkladı. Şirket, saldırganların yalnızca güvenliği ihlal edilmiş bir çalışanın hesabına bağlı bir Box klasöründen hassas olmayan verileri toplayıp çalmış olabileceğini söyledi.
Cisco, bir çalışanın kişisel Google hesabının başarılı bir şekilde kimlik avı yoluyla ele geçirilmesi sonrasında kimlik bilgilerinin ve Cisco VPN’e yetkisiz erişimin mümkün hale geldiğini söyledi. Saldırganın, Cisco çalışanını, güvenilir destek kuruluşlarının kimliğine bürünen Yanluowang çetesi tarafından başlatılan bir dizi karmaşık sesli kimlik avı saldırısı sırasında çok faktörlü kimlik doğrulama (MFA) yorgunluğunu kullanarak push bildirimlerini kabul etmeye ikna ettiği açıklandı.
MFA yorgunluğu, tehdit aktörlerinin bir hedefi rahatsız etmek için sürekli bir çok faktörlü kimlik doğrulama istekleri akışı gönderdiği ve sonunda hedefin bu olayı durdurmak için bu uyarıyı kabul etmesini umdukları bir saldırı taktiği olarak veriliyor.
Yanluowang hackerlarının, şirketin kurumsal ağında bir yer edindikten sonra, Citrix sunucularına ve etki alanı denetleyicilerine yanal olarak yayıldığı anlaşılmış. Etki alanı yöneticisi olduktan sonra, daha fazla bilgi toplamak için ntdsutil, adfind ve secretsdump gibi numaralandırma araçlarını kullanmışlar ve sisteme bir arka kapı kötü amaçlı yazılımı da dahil olmak üzere bir dizi kötücül yazılım yüklemişler.
UNC2447 adlı bir Rus grubu ve Yanluowang fidye yazılımı çetesiyle bağları olan hackerların, farkedildikten sonra ağdan çıkarıldığı ve yeniden girmesinin engellendiği kaydediliyor. Hackerların tekniklerinin ve iş yapma şeklinin, birçoğu yılın başlarında tutuklanan Lapsus$ grubuyla da bazı örtüşmeler gösterdiği notu var.
Cisco, saldırı sırasında bulabildiği herhangi bir fidye yazılımı dağıtımı olmadığını söylüyor. CSIRT,
“Cisco, herhangi bir Cisco ürünü veya hizmeti, hassas müşteri verileri veya hassas çalışan bilgileri, Cisco fikri mülkiyeti veya tedarik zinciri operasyonları üzerinde herhangi bir etki dahil olmak üzere, bu olayın sonucunda işimiz üzerinde herhangi bir etki belirlemedi. 10 Ağustos’ta kötü aktörler, bu güvenlik olayından dark web’e bir dosya listesi yayınladı.”
İhlalin ardından şirket çapında bir parola sıfırlama başlatıldı.