Cisco ha rivelato che la sua rete aziendale è stata violata a fine maggio e che sono stati rubati i dati interni.
I dettagli relativi al recente attacco informatico sono stati condivisi nel blog ufficiale di Cisco Talos. Dall’indagine svolta da Cisco Security Incident Response (CSIRT) e Cisco Talos si è scoperto che “che le credenziali di un dipendente Cisco sono state compromesse dopo che un utente malintenzionato ha ottenuto il controllo di un account Google personale in cui venivano sincronizzate le credenziali salvate nel browser della vittima”.
Come si legge nell’analisi pubblicata: “L’attaccante ha condotto una serie di sofisticati attacchi di phishing vocale…, tentando di convincere la vittima ad accettare le notifiche push di autenticazione a più fattori (MFA) avviate dall’attaccante. L’attaccante alla fine è riuscito a ottenere un’accettazione push MFA, garantendo loro l’accesso alla VPN nel contesto dell’utente preso di mira”.
Secondo l’indagine effettuata dopo aver ottenuto l’accesso iniziale, l’attore delle minacce ha condotto una serie di attività per mantenere l’accesso e aumentare il livello di accesso ai sistemi all’interno dell’ambiente.
Cisco dichiara che non c’è nessuna prova che l’attaccante abbia avuto accesso a sistemi interni critici, come quelli relativi allo sviluppo del prodotto, alla firma del codice, ecc.
Grazie alle azioni correttive intraprese l’attore della minaccia è stato rimosso con successo dall’ambiente. Lo stesso ha tentato ripetutamente di riottenere l’accesso nelle settimane successive all’attacco, tuttavia Cisco dichiara che questi tentativi non hanno avuto successo.
Alla domanda perché questo incidente di sicurezza sia stato rilevato solo ora, Cisco nella pagina Cisco Security risponde: “Il 10 agosto gli attori malevoli hanno pubblicato sul dark web un elenco di file di questo incidente di sicurezza. Prima di questa divulgazione, Cisco ha raccolto attivamente informazioni sull’attore malevolo per aiutare a proteggere la comunità della sicurezza.”
https://tools.cisco.com/security/center/resources/corp_network_security_incident
https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html?m=1
https://securityaffairs.co/wordpress/134278/hacking/yanluowang-ransomware-hacked-cisco.html