سیسکو نقض شبکه را از طریق حساب Google کارمند هک شده تأیید کرد

سیسکو سیستمز جزئیات هک ماه می توسط گروه باج افزار Yanluowang را فاش کرد که از حساب Google یک کارمند به خطر افتاده استفاده کرد.

غول شبکه این حمله را "مصالحه بالقوه" می نامد در پست چهارشنبه توسط بازوی تحقیقاتی تهدیدات Cisco Talos خود این شرکت.

سیسکو تالوس در توضیح طولانی این حمله نوشت: «در طول تحقیقات، مشخص شد که اعتبار یک کارمند سیسکو پس از اینکه یک مهاجم کنترل یک حساب شخصی Google را که در آن اطلاعات ذخیره شده در مرورگر قربانی همگام‌سازی می‌شد، به دست آورد، به خطر افتاد.

جزئیات پزشکی قانونی این حمله باعث شد که محققان Cisco Talos این حمله را به گروه تهدید Yanluowang نسبت دهند که به گفته آنها با UNC2447 و سایبرگنگ های بدنام Lapsus$ ارتباط دارد.

در نهایت، سیسکو تالوس گفت که دشمنان در استقرار بدافزار باج‌افزار موفق نبودند، اما در نفوذ به شبکه آن و استقرار کادری از ابزارهای هک تهاجمی و انجام شناسایی شبکه‌های داخلی «که معمولاً منجر به استقرار باج‌افزار در محیط‌های قربانی می‌شود» موفق بودند.

پیشی گرفتن از MFA برای دسترسی به VPN

نکته اصلی این هک، توانایی مهاجمان برای به خطر انداختن ابزار Cisco VPN کارمند مورد نظر و دسترسی به شبکه شرکتی با استفاده از آن نرم افزار VPN بود.

“دسترسی اولیه به Cisco VPN از طریق به خطر افتادن موفقیت آمیز حساب Google شخصی یک کارمند Cisco به دست آمد. کاربر همگام سازی رمز عبور از طریق Google Chrome را فعال کرده بود و اعتبار سیسکو خود را در مرورگر خود ذخیره کرده بود و این امکان را برای همگام سازی اطلاعات با حساب Google خود فراهم می کرد.

مهاجمان با داشتن اعتبارنامه‌هایی که در اختیار داشتند، سپس از تکنیک‌های زیادی برای دور زدن احراز هویت چند عاملی مرتبط با مشتری VPN استفاده کردند. تلاش‌ها شامل فیشینگ صوتی و نوعی حمله به نام خستگی MFA بود. Cisco Talos تکنیک حمله خستگی MFA را اینگونه توصیف می‌کند: «فرایند ارسال حجم بالایی از درخواست‌های فشار به دستگاه تلفن همراه هدف تا زمانی که کاربر بپذیرد، تصادفاً یا صرفاً برای خاموش کردن اعلان‌های فشار مکرر که دریافت می‌کنند».

La جعل وزارت خارجه حملات اهرمی علیه کارمند سیسکو در نهایت با موفقیت انجام شد و به مهاجمان اجازه داد تا نرم افزار VPN را به عنوان کارمند مورد نظر سیسکو اجرا کنند. محققان نوشتند: «هنگامی که مهاجم به دسترسی اولیه دست یافت، مجموعه‌ای از دستگاه‌های جدید را برای MFA ثبت نام کرد و با موفقیت در Cisco VPN تأیید شد.

آن‌ها گفتند: «مهاجم سپس به امتیازات اداری افزایش یافت و به آنها اجازه داد به سیستم‌های متعددی وارد شوند، که به تیم پاسخگویی به حوادث امنیتی سیسکو (CSIRT) هشدار داد، که متعاقباً به این حادثه پاسخ دادند.

ابزارهای مورد استفاده مهاجمان شامل LogMeIn و TeamViewer و همچنین ابزارهای امنیتی تهاجمی مانند Cobalt Strike، PowerSploit، Mimikatz و Impacket بود.

در حالی که MFA یک موقعیت امنیتی ضروری برای سازمان ها در نظر گرفته می شود، اما به دور از هک بودن است. ماه گذشته، محققان مایکروسافت کشف کردند عظیم فیشینگ کمپینی که حتی اگر کاربر احراز هویت چند عاملی (MFA) را فعال کرده باشد و تا کنون تلاش کرده است بیش از 10,000 سازمان را در معرض خطر قرار دهد، می تواند اعتبارنامه ها را بدزدد.

Cisco پاسخ حادثه خود را برجسته می کند

طبق گزارش Cisco Talos، در پاسخ به این حمله، سیسکو بلافاصله پسوردی را برای کل شرکت بازنشانی کرد.

آنها نوشتند: «یافته‌های ما و محافظت‌های امنیتی بعدی ناشی از آن تعامل‌های مشتری به ما کمک کرد پیشرفت مهاجم را کند کرده و مهار کنیم.

شرکت سپس دو امضای ضد ویروس Clam (Win.Exploit.Kolobko-9950675-0 و Win.Backdoor.Kolobko-9950676-0) را به عنوان یک اقدام احتیاطی برای ضدعفونی کردن هر گونه دارایی احتمالی در معرض خطر ایجاد کرد. Clam AntiVirus Signatures (یا ClamAV) یک جعبه ابزار ضد بدافزار چند پلتفرمی است که قادر به شناسایی انواع بدافزارها و ویروس ها است.

عاملان تهدید معمولاً از تکنیک‌های مهندسی اجتماعی برای به خطر انداختن اهداف استفاده می‌کنند و علیرغم فراوانی چنین حملاتی، سازمان‌ها همچنان با چالش‌هایی برای کاهش این تهدیدها مواجه هستند. Cisco Talos نوشت، آموزش کاربران در خنثی کردن چنین حملاتی بسیار مهم است، از جمله اطمینان از اینکه کارمندان از راه‌های قانونی تماس پرسنل پشتیبانی با کاربران اطلاع دارند تا کارمندان بتوانند تلاش‌های متقلبانه برای به دست آوردن اطلاعات حساس را شناسایی کنند.