Cisco, saldırganın bir çalışanı kötü niyetli bir çok faktörlü kimlik doğrulama (MFA) zorlamasını kabul etmeye ikna etmek için sesli kimlik avı kullandığı ağının ihlal edildiğini doğruladı. Şirket, 10 Ağustos’ta yaptığı açıklamada, ihlalin siber saldırganların şirketin sanal özel ağına (VPN) erişmesine ve ağından belirsiz sayıda dosyanın çalınmasına neden olduğunu belirtti.
Saldırgan, bir Cisco çalışanının kişisel Google hesabını ele geçirdi ve bu, çalışanların Google Chrome’daki senkronize şifre deposu aracılığıyla iş kimlik bilgilerine erişmelerine izin verdi. Saldırgan, Cisco’nun kurumsal VPN’ine erişimi koruyan MFA’yı atlamak için sesli kimlik avı veya vishing girişiminde bulundu ve sürekli olarak MFA kimlik doğrulama isteklerini çalışanın telefonuna gönderdi. Sonunda, çalışan ya istemeden ya da uyarı yorgunluğuyla, push talebini kabul ederek saldırganın Cisco’nun ağına erişmesine izin verdi.
Cisco olayı kabul etti kısa bir basın açıklamasışirketin 24 Mayıs’ta ihlali keşfettiğini ancak “olayın sonucunda işimiz üzerinde herhangi bir etki belirlemediğini” savundu.
“[W]Dark Reading’e gönderilen açıklamada bir şirket sözcüsü, kötü aktörleri kontrol altına almak ve ortadan kaldırmak, olayın etkisini düzeltmek ve BT ortamımızı daha da sertleştirmek için hemen harekete geçti” dedi. “Hiçbir fidye yazılımı gözlemlenmedi veya dağıtılmadı ve Cisco olayı keşfettikten sonra Cisco’nun ağına erişim girişimlerini başarıyla engelledi.”
Teknoloji şirketlerinin ihlalleri, genellikle tedarik zinciri saldırılarının bir parçası olarak olağan hale geldi. 2011’deki orijinal tedarik zinciri saldırılarından birinde, Çin’e bağlı iki devlet destekli grup, şirketin SecurID tokenlerinin güvenliğini destekleyen kritik verileri çalmak için güvenlik sağlayıcısı RSA’yı ele geçirdi. En önemli modern saldırıda, Microsoft’un adı olan Rusya bağlantılı Nobelium grubu, SolarWinds’i tehlikeye attı ve şirketin müşterilerini tehlikeye atmak için güvenliği ihlal edilmiş bir güncelleme kullandı.
Siber güvenlik girişimi ImmuniWeb’in kurucusu Ilia Kolochenko, Dark Reading’e yaptığı açıklamada, Cisco’ya yapılan saldırının büyük olasılıkla birden fazla hedefi olduğunu söyledi.
“Tedarikçiler genellikle kurumsal ve devlet müşterilerine ayrıcalıklı erişime sahiptir ve bu nedenle görünmez ve süper verimli tedarik zinciri saldırılarına kapı açabilirler” diye ekledi, “satıcıların çoğu zaman çok değerli siber tehdit istihbaratı var: kötü adamlar karşı istihbarat yürütmek için güçlü bir şekilde motive oluyorlar. Soruşturma ve yaklaşan polis baskınlarıyla kolluk kuvvetlerinin ve özel satıcıların nerede olduğunu bulmayı amaçlayan operasyonlar.”
Bazı güvenlik uzmanları saldırıyı “sofistike” olarak nitelendirirken, Cisco bunun bir sosyal mühendislik oyunu olduğuna dikkat çekti.
Cisco Talos ekibi, “Saldırgan nihayetinde bir MFA push kabulü elde etmeyi başardı ve onlara hedeflenen kullanıcı bağlamında VPN’ye erişim izni verdi.” saldırının analizinde belirtilen. “Saldırgan ilk erişim elde ettikten sonra, MFA için bir dizi yeni cihaz kaydettirdi ve Cisco VPN’de başarıyla kimlik doğrulaması yaptı.”
Erişim sağlandıktan sonra saldırgan, ayrıcalıkları artırarak ve birden çok sistemde oturum açarak ağda ilerlemeye çalıştı. Tehdit aktörü, uzaktan erişim yazılımı LogMeIn ve TeamViewer gibi çeşitli araçların yanı sıra, her ikisi de saldırganlar tarafından yaygın olarak kullanılan Cobalt Strike ve Mimikatz gibi saldırgan güvenlik araçları yükledi.
Ayrıca, Cisco Talos analizine göre, saldırganın “çok sayıda sisteme” erişmek için güvenliği ihlal edilmiş hesabı kullanarak ve etki alanı denetleyicilerine ayrıcalıklı erişim elde etmek için birkaç Citrix sunucusunu tehlikeye atarak Cisco’nun ağına kapsamlı erişimi vardı. Saldırgan, sistemlere erişmek için zaten var olan uzak masaüstü protokolü (RDP) hesaplarını kullandı ve erişimi engellemelerini önlemek için güvenlik duvarı kurallarını kaldırdı.
Cisco, saldırganların ürünlerini, hizmetlerini veya hassas müşteri veya çalışan verilerini etkilemediğini iddia etse de şirket, 10 Ağustos’ta tehdit aktörlerinin olay sırasında ağdan çalınan dosyaların bir listesini yayınladığını kabul etti. Saldırganlar fidye isterken, bir basın raporuna göreCisco, saldırganların fidye yazılımı dağıtmadığını belirtti. Tehdit aktörü, Cisco’nun ağındaki çeşitli sistemlere bir dizi saldırgan araç ve yük yükledi.
Cisco, tehdit aktörünün bir ilk erişim aracısı olduğuna inanıyor – kurumsal ağlara yetkisiz erişim elde eden ve ardından bu erişimi Karanlık Web’de bir hizmet olarak satan bir düşman. Cisco’nun Talos grubu, tehdit aktörünün “UNC2447 siber suç çetesi, Lapsus$ tehdit aktörü grubu ve Yanluowang fidye yazılımı operatörleriyle bağları” olduğunu belirtti.
Talos analizine göre hedeflenen çalışan Cisco’ya, tehdit aktörü veya bağlı kuruluşlarının çeşitli uluslararası aksan ve lehçelerle İngilizce konuştuğunu ve işçi tarafından bilinen bir destek organizasyonunun parçası olduğunu iddia ettiğini söyledi.