Cisco on kinnitanud, et ta sai osaks küberrünnakust, mille põhjustas töötaja sisselogimismandaatide kahjustamine.

Kuigi Cisco sõnul ei olnud 2022. aasta mai intsidendil mingeid suuri tagajärgi, palub ohunäitleja, kes suutis enne väljaviskamist mõnda aega võrgus ringi seigelda, selle lõpetamist.

Cisco andmetel on ründajad varajase juurdepääsu vahendajad, kes on seotud küberkurjategijate jõugu UNC2447, ohutegijate rühmaga Lapsus€ ja Yanluowangi lunavaraoperaatoritega (avaneb uuel vahelehel). Neil õnnestus tungida töötaja isiklikule Google'i kontole, mis sünkrooniti tema brauseriga ja säilitas kõik sisselogimisandmed.

sissetungija välja võtta

Pärast seda viis ründaja läbi "rea keerulisi andmepüügirünnakuid", mille tulemusel võttis töötaja vastu mitmefaktorilise autentimise (MFA) tõuketeatised.

See andis neile sihtkasutaja kontekstis juurdepääsu VPN-ile, mida nad kasutasid külgmiselt Citrixi domeenikontrolleritesse ja serveritesse teisaldamiseks. "Nad kolisid Citrixi keskkonda, ohustades mitmeid Citrixi servereid ja omandades lõpuks privilegeeritud juurdepääsu domeenikontrolleritele," ütles Cisco oma teadaandes (avaneb uuel vahelehel).

Siis nad Cisco sõnul avastati ja saadeti välja. "Ohutegutseja eemaldati edukalt keskkonnast ja demonstreeris järjekindlust, püüdes rünnakule järgnevatel nädalatel korduvalt juurdepääsu taastada; need katsed aga ebaõnnestusid.

Kuigi ettevõte väidab, et tõsist kahju ei tekitatud, võtsid ründajad ühendust ettevõttega BleepingComputer (avaneb uuel vahelehel), et väita vastupidist, väites, et nad on varastanud rohkem kui 3000 faili, sealhulgas NDA-d, andmekogud ja tehnilised joonised. Kogu andmebaas kaalub 2,75 GB ja see postitati väljapressija andmelekke saidile.

Cisco tähtsustas vargust, öeldes, et andmed ei olnud tundlikud ja pärinevad ohustatud töötaja Box kaustast.

"Cisco ei ole tuvastanud, et see juhtum mõjutaks meie äritegevust, sealhulgas Cisco tooteid või teenuseid, tundlikke kliendiandmeid või töötajate konfidentsiaalset teavet, intellektuaalset omandit ega tarneahela toiminguid," märgiti.

“10. augustil postitasid halvad näitlejad pimedasse veebi selle turvaintsidendi failide nimekirja. Samuti oleme rakendanud lisameetmeid oma süsteemide kaitsmiseks ja jagame tehnilisi üksikasju, et aidata kaitsta laiemat turvakogukonda.

Share This