Ο κολοσσός δικτύωσης λέει ότι οι εισβολείς απέκτησαν αρχική πρόσβαση στον πελάτη VPN ενός υπαλλήλου μέσω ενός παραβιασμένου λογαριασμού Google.
Η Cisco Systems αποκάλυψε λεπτομέρειες για ένα hack τον Μάιο από την ομάδα ransomware Yanluowang που αξιοποίησε τον λογαριασμό Google ενός παραβιασμένου υπαλλήλου.
Ο γίγαντας της δικτύωσης αποκαλεί την επίθεση "δυνητικό συμβιβασμό" σε ανάρτηση της Τετάρτης από το τμήμα έρευνας απειλών Cisco Talos της ίδιας της εταιρείας.
«Κατά τη διάρκεια της έρευνας, διαπιστώθηκε ότι τα διαπιστευτήρια ενός υπαλλήλου της Cisco παραβιάστηκαν αφού ένας εισβολέας απέκτησε τον έλεγχο ενός προσωπικού λογαριασμού Google όπου συγχρονίζονταν τα διαπιστευτήρια που ήταν αποθηκευμένα στο πρόγραμμα περιήγησης του θύματος», έγραψε ο Cisco Talos σε μια μακρά ανάλυση της επίθεσης.
Οι εγκληματολογικές λεπτομέρειες της επίθεσης οδηγούν τους ερευνητές της Cisco Talos να αποδώσουν την επίθεση στην ομάδα απειλών Yanluowang, η οποία υποστηρίζουν ότι έχει δεσμούς τόσο με το UNC2447 όσο και με τους διαβόητους cybergangs Lapsus$.
Τελικά, η Cisco Talos είπε ότι οι αντίπαλοι δεν κατάφεραν να αναπτύξουν κακόβουλο λογισμικό ransomware, ωστόσο κατάφεραν να διεισδύσουν στο δίκτυό της και να φυτέψουν ένα σύνολο επιθετικών εργαλείων hacking και να πραγματοποιήσουν αναγνώριση εσωτερικού δικτύου «που συνήθως παρατηρείται μέχρι την ανάπτυξη ransomware σε περιβάλλοντα θυμάτων».
Ξεπερνώντας το MFA για πρόσβαση VPN
Η ουσία του hack ήταν η ικανότητα των εισβολέων να παραβιάσουν το βοηθητικό πρόγραμμα Cisco VPN του στοχευόμενου υπαλλήλου και να αποκτήσουν πρόσβαση στο εταιρικό δίκτυο χρησιμοποιώντας αυτό το λογισμικό VPN.
«Η αρχική πρόσβαση στο Cisco VPN επιτεύχθηκε μέσω της επιτυχούς παραβίασης του προσωπικού λογαριασμού Google ενός υπαλλήλου της Cisco. Ο χρήστης είχε ενεργοποιήσει τον συγχρονισμό κωδικού πρόσβασης μέσω του Google Chrome και είχε αποθηκεύσει τα διαπιστευτήριά του Cisco στο πρόγραμμα περιήγησής του, επιτρέποντας σε αυτές τις πληροφορίες να συγχρονιστούν με τον λογαριασμό του Google», έγραψε ο Cisco Talos.
Έχοντας διαπιστευτήρια στην κατοχή τους, οι εισβολείς χρησιμοποίησαν στη συνέχεια πολλές τεχνικές για να παρακάμψουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων που συνδέεται με τον πελάτη VPN. Οι προσπάθειες περιλάμβαναν φωνητικό ψάρεμα και ένα είδος επίθεσης που ονομάζεται κόπωση MFA. Η Cisco Talos περιγράφει την τεχνική επίθεσης κόπωσης MFA ως «τη διαδικασία αποστολής μεγάλου όγκου αιτημάτων ώθησης στην κινητή συσκευή του στόχου έως ότου ο χρήστης αποδεχτεί, είτε τυχαία είτε απλά να προσπαθήσει να αποσιωπήσει τις επαναλαμβανόμενες ειδοποιήσεις push που λαμβάνει.
Η πλαστογράφηση MFA Οι επιθέσεις που χρησιμοποιήθηκαν κατά του υπαλλήλου της Cisco ήταν τελικά επιτυχείς και επέτρεψαν στους εισβολείς να εκτελέσουν το λογισμικό VPN ως στοχευόμενος υπάλληλος της Cisco. «Μόλις ο εισβολέας είχε αποκτήσει αρχική πρόσβαση, ενέγραψε μια σειρά από νέες συσκευές για MFA και επαληθεύτηκε επιτυχώς στο Cisco VPN», έγραψαν οι ερευνητές.
«Ο εισβολέας στη συνέχεια κλιμακώθηκε σε διαχειριστικά προνόμια, επιτρέποντάς τους να συνδεθούν σε πολλαπλά συστήματα, κάτι που ειδοποίησε την ομάδα μας για την αντιμετώπιση περιστατικών ασφαλείας της Cisco (CSIRT), η οποία στη συνέχεια απάντησε στο συμβάν», είπαν.
Τα εργαλεία που χρησιμοποιήθηκαν από τους επιτιθέμενους περιελάμβαναν το LogMeIn και το TeamViewer καθώς και επιθετικά εργαλεία ασφαλείας όπως το Cobalt Strike, το PowerSploit, το Mimikatz και το Impacket.
Ενώ το MFA θεωρείται μια βασική θέση ασφαλείας για τους οργανισμούς, απέχει πολύ από το να είναι ανθεκτικό στο hack. Τον προηγούμενο μήνα, Ερευνητές της Microsoft αποκάλυψαν μια τεράστια Phishing καμπάνια που μπορεί να κλέψει διαπιστευτήρια ακόμα κι αν ένας χρήστης έχει ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και έχει επιχειρήσει μέχρι στιγμής να θέσει σε κίνδυνο περισσότερους από 10,000 οργανισμούς.
Η Cisco επισημαίνει την ανταπόκρισή της σε περιστατικά
Σε απάντηση στην επίθεση, η Cisco εφάρμοσε αμέσως μια επαναφορά κωδικού πρόσβασης σε ολόκληρη την εταιρεία, σύμφωνα με την έκθεση Cisco Talos.
«Τα ευρήματά μας και οι επακόλουθες προστασίες ασφαλείας που προέκυψαν από αυτές τις δεσμεύσεις πελατών μας βοήθησαν να επιβραδύνουμε και να περιορίσουμε την εξέλιξη του εισβολέα», έγραψαν.
Στη συνέχεια, η εταιρεία δημιούργησε δύο υπογραφές Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 και Win.Backdoor.Kolobko-9950676-0) ως προφύλαξη για την απολύμανση τυχόν πρόσθετων παραβιασμένων στοιχείων. Το Clam AntiVirus Signatures (ή ClamAV) είναι μια εργαλειοθήκη προστασίας από κακόβουλο λογισμικό πολλαπλών πλατφορμών ικανή να ανιχνεύει μια ποικιλία από κακόβουλο λογισμικό και ιούς.
«Οι φορείς απειλών χρησιμοποιούν συνήθως τεχνικές κοινωνικής μηχανικής για να συμβιβάσουν στόχους, και παρά τη συχνότητα τέτοιων επιθέσεων, οι οργανισμοί συνεχίζουν να αντιμετωπίζουν προκλήσεις που μετριάζουν αυτές τις απειλές. Η εκπαίδευση των χρηστών είναι πρωταρχικής σημασίας για την αποτροπή τέτοιων επιθέσεων, συμπεριλαμβανομένης της διασφάλισης ότι οι εργαζόμενοι γνωρίζουν τους νόμιμους τρόπους με τους οποίους το προσωπικό υποστήριξης θα επικοινωνεί με τους χρήστες, ώστε οι υπάλληλοι να μπορούν να εντοπίσουν δόλιες απόπειρες απόκτησης ευαίσθητων πληροφοριών», έγραψε ο Cisco Talos.
- blockchain
- παραβίαση
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- αμυχές
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
