أكدت شركة Cisco أنها تعرضت لهجوم إلكتروني بسبب اختراق بيانات اعتماد تسجيل الدخول لموظف.
بينما تقول شركة سيسكو إنها لم تتعرض لعواقب كبيرة من حادثة مايو 2022، فإن ممثل التهديد، الذي كان قادرًا على البقاء حول الشبكة لفترة قصيرة قبل طرده، يطرح الاختلاف.
وفقًا لـ Cisco، فإن المهاجمين هم وسطاء وصول أوليون مرتبطون بعصابة الجريمة الإلكترونية UNC2447 ومجموعة Lapsus $ للجهات الفاعلة للتهديد ومشغلي Yanluowang ransomware (يفتح في علامة تبويب جديدة). تمكنوا من التسلل إلى حساب Google الشخصي للموظف، والذي تمت مزامنته مع متصفحهم والذي احتفظ بجميع بيانات تسجيل الدخول.
بينما تقول شركة سيسكو إنها لم تتعرض لعواقب كبيرة من حادثة مايو 2022، فإن ممثل التهديد، الذي كان قادرًا على البقاء حول الشبكة لفترة قصيرة قبل طرده، يطرح الاختلاف.
وفقًا لـ Cisco، فإن المهاجمين هم وسطاء وصول أوليون مرتبطون بعصابة الجريمة الإلكترونية UNC2447 ومجموعة Lapsus $ للجهات الفاعلة للتهديد ومشغلي Yanluowang ransomware (يفتح في علامة تبويب جديدة). تمكنوا من التسلل إلى حساب Google الشخصي للموظف، والذي تمت مزامنته مع متصفحهم والذي احتفظ بجميع بيانات تسجيل الدخول.
دفع الدخيل للخارج
بعد ذلك، أجرى المهاجم "سلسلة من هجمات التصيد الصوتي المعقدة" التي أدت إلى قبول الموظف لإخطارات المصادقة متعددة العوامل (MFA)multi-factor authentication .
وقد منحهم ذلك إمكانية الوصول إلى VPN في سياق المستخدم المستهدف، والذي استخدموه للانتقال أفقياً إلى خوادم Citrix ووحدات التحكم بالمجال. وقالت Cisco في إعلانها: "لقد انتقلوا إلى بيئة Citrix، مما أدى إلى اختراق سلسلة من خوادم Citrix وحصلوا في النهاية على امتياز الوصول إلى وحدات التحكم بالمجال".
عندها، وفقًا لشركة سيسكو، تم رصدهم ودفعهم للخارج. "تمت إزالة عامل التهديد بنجاح من البيئة وأظهر المثابرة، وحاول مرارًا استعادة الوصول في الأسابيع التي أعقبت الهجوم ؛ لكن هذه المحاولات باءت بالفشل".
بينما تقول الشركة إنه لم يحدث أي ضرر جسيم، بينما زعم المهاجمون أنهم سرقوا أكثر من 3000 ملف، بما في ذلك NDAs، ومخلفات البيانات، والرسومات الهندسية. تزن قاعدة البيانات بأكملها 2.75 جيجابايت، وتم نشرها على موقع تسرب البيانات الخاص بالابتزاز.
قللت Cisco من شأن السرقة، مدعية أن البيانات لم تكن حساسة وتم أخذها من مجلد Box الخاص بالموظف المخترق.
وقالت "سيسكو لم تحدد أي تأثير على أعمالنا نتيجة لهذا الحادث، بما في ذلك منتجات أو خدمات سيسكو أو بيانات العملاء الحساسة أو معلومات الموظفين الحساسة أو الملكية الفكرية أو عمليات سلسلة التوريد". "في 10 أغسطس، نشر الفاعلون قائمة ملفات من هذا الحادث الأمني إلى الويب المظلم. لقد قمنا أيضًا بتنفيذ تدابير إضافية لحماية أنظمتنا ونشارك التفاصيل الفنية للمساعدة في حماية مجتمع الأمان الأوسع".