Útočníkům se podařilo proniknout do části interní sítě firmy Cisco. Incident, který se odehrál 24. května, společnost potvrdila poté, co útočníci na internetu publikovali soubory při útoku ukradené. Podle firmy se ale nedostali k žádným citlivým datům.
Průběh útoku Cisco podrobně popisuje na svém webu. A je to vysoce zajímavé čtení.
Útočníkům se podle firmy podařilo získat přístup k interním systémům tak, že nejprve ovládli soukromý Google účet jednoho ze zaměstnanců. „Uživatel měl v Google Chrome zapnutou synchronizaci hesel a v prohlížeči měl uloženy také přihlašovací údaje k systémům Cisco,“ popisuje společnost.
Útočníci se pak pokusili prolomit multifaktorové zabezpečení (MFA), přičemž využili několik různých metod, včetně tzv. vishningu (několikrát uživateli volali a předstírali, že jsou zaměstnanci důvěryhodných organizací) nebo tzv. MFA fatigue (zasílání mnoha push notifikací na uživatelův telefon do doby, než se uklikne nebo autentifikaci povolí jen proto, aby už měl klid).
Cisco neupřesňuje, která metoda zabrala, ale útočníkům se každopádně nakonec podařilo dostat do firemní VPN. Poté získali administrátorská oprávnění, která jim dala přístup do dalších systémů. V těch se snažili zmapovat uložená data, instalovat nástroje pro dálkový přístup či po sobě mazat stopy.
Útočníci pokoušeli z interních systémů také stáhnout data, nicméně podle firmy se jim to podařilo jen v případě cloudového úložiště Box, který patří zaměstnanci s kompromitovaným účtem. Ukradená data podle společnosti nebyla citlivá.
„Cisco nezaznamenalo žádný dopad útoku na své podnikání, produkty, služby, citlivá data uživatelů, citlivá data zaměstnanců, duševní vlastnictví Cisco či naše dodavatele,“ říká firma. Útok brzy zaznamenal interní CSIRT tým, kterému se podle společnosti podařilo útočníky ze systémů vypudit.
V následujících týdnech firma zaznamenala další pokusy útočníků o získání přístupu k systémům, které ale podle Cisco nebyly úspěšné. Podle firmy za útokem stojí nejspíše skupina Yanluowang, která se soustředí na ransomwarové útoky.
ČLÁNKY DO MAILU