सिस्को ने हैक किए गए कर्मचारी Google खाते के माध्यम से नेटवर्क उल्लंघन की पुष्टि की

टाइम स्टैम्प: 11 अगस्त, 2022 सुबह 8:51 बजे
स्रोत नोड: 1617202

नेटवर्किंग की दिग्गज कंपनी का कहना है कि हमलावरों ने एक छेड़छाड़ किए गए Google खाते के माध्यम से एक कर्मचारी के वीपीएन क्लाइंट तक प्रारंभिक पहुंच प्राप्त की।

सिस्को सिस्टम्स ने यानलुओवांग रैंसमवेयर समूह द्वारा एक मई हैक के विवरण का खुलासा किया जिसने एक समझौता कर्मचारी के Google खाते का लाभ उठाया।

नेटवर्किंग की दिग्गज कंपनी हमले को "संभावित समझौता" कह रही है बुधवार की पोस्ट में कंपनी के अपने सिस्को टैलोस थ्रेट रिसर्च आर्म द्वारा।

"जांच के दौरान, यह निर्धारित किया गया था कि एक सिस्को कर्मचारी की साख के साथ समझौता किया गया था जब एक हमलावर ने एक व्यक्तिगत Google खाते पर नियंत्रण प्राप्त कर लिया था, जहां पीड़ित के ब्राउज़र में सहेजे गए क्रेडेंशियल्स को सिंक्रनाइज़ किया जा रहा था," सिस्को टैलोस ने हमले के लंबे ब्रेकडाउन में लिखा।

इन्फोसेक इनसाइडर्स न्यूज़लैटर

हमले के फोरेंसिक विवरण से सिस्को टैलोस के शोधकर्ताओं ने हमले का श्रेय यानलुओवांग खतरे समूह को दिया है, जिसे वे यूएनसी 2447 और कुख्यात लैप्सस $ साइबरगैंग दोनों से संबंध रखते हैं।

अंततः, सिस्को टैलोस ने कहा कि विरोधी रैंसमवेयर मैलवेयर को तैनात करने में सफल नहीं थे, हालांकि अपने नेटवर्क में प्रवेश करने और आक्रामक हैकिंग टूल का एक कैडर लगाने और आंतरिक नेटवर्क टोही का संचालन करने में सफल रहे "आमतौर पर पीड़ित वातावरण में रैंसमवेयर की तैनाती के लिए अग्रणी देखा गया।"

वीपीएन एक्सेस के लिए एमएफए को बेहतर बनाना

हैक की जड़ हमलावरों की लक्षित कर्मचारी की सिस्को वीपीएन उपयोगिता से समझौता करने और उस वीपीएन सॉफ्टवेयर का उपयोग करके कॉर्पोरेट नेटवर्क तक पहुंचने की क्षमता थी।

"सिस्को वीपीएन की प्रारंभिक पहुंच सिस्को कर्मचारी के व्यक्तिगत Google खाते के सफल समझौते के माध्यम से प्राप्त की गई थी। उपयोगकर्ता ने Google क्रोम के माध्यम से पासवर्ड सिंकिंग को सक्षम किया था और अपने सिस्को क्रेडेंशियल्स को अपने ब्राउज़र में संग्रहीत किया था, जिससे उस जानकारी को उनके Google खाते में सिंक्रनाइज़ करने में सक्षम बनाया गया था, "सिस्को टैलोस ने लिखा।

अपने कब्जे में क्रेडेंशियल के साथ, हमलावरों ने वीपीएन क्लाइंट से जुड़े मल्टीफैक्टर प्रमाणीकरण को बायपास करने के लिए कई तकनीकों का इस्तेमाल किया। प्रयासों में वॉयस फ़िशिंग और एक प्रकार का हमला शामिल था जिसे एमएफए थकान कहा जाता है। सिस्को टैलोस ने एमएफए थकान हमले तकनीक का वर्णन "लक्ष्य के मोबाइल डिवाइस पर उच्च मात्रा में पुश अनुरोधों को भेजने की प्रक्रिया के रूप में किया है, जब तक कि उपयोगकर्ता स्वीकार नहीं करता है, या तो गलती से या बस उन्हें प्राप्त होने वाली बार-बार पुश अधिसूचनाओं को चुप करने का प्रयास करने के लिए।"

RSI एमएफए स्पूफिंग सिस्को कर्मचारी के खिलाफ लीवरेज किए गए हमले अंततः सफलतापूर्वक हुए और हमलावरों को लक्षित सिस्को कर्मचारी के रूप में वीपीएन सॉफ्टवेयर चलाने की अनुमति दी गई। "एक बार जब हमलावर ने प्रारंभिक पहुंच प्राप्त कर ली, तो उन्होंने एमएफए के लिए नए उपकरणों की एक श्रृंखला को नामांकित किया और सिस्को वीपीएन को सफलतापूर्वक प्रमाणित किया," शोधकर्ताओं ने लिखा।

उन्होंने कहा, "हमलावर तब प्रशासनिक विशेषाधिकारों तक पहुंच गया, जिससे उन्हें कई प्रणालियों में प्रवेश करने की इजाजत मिली, जिसने हमारी सिस्को सुरक्षा घटना प्रतिक्रिया टीम (सीएसआईआरटी) को सतर्क कर दिया, जिन्होंने बाद में घटना का जवाब दिया।"

हमलावरों द्वारा उपयोग किए जाने वाले टूल में LogMeIn और TeamViewer और आक्रामक सुरक्षा उपकरण जैसे कोबाल्ट स्ट्राइक, पॉवरस्प्लोइट, मिमिकेट्ज़ और इम्पैकेट शामिल हैं।

जबकि एमएफए को संगठनों के लिए एक आवश्यक सुरक्षा मुद्रा माना जाता है, यह हैक-प्रूफ से बहुत दूर है। पिछले महीने, माइक्रोसॉफ्ट के शोधकर्ताओं ने खुलासा किया बहुत ज्यादा फ़िशिंग एक अभियान जो किसी उपयोगकर्ता के पास बहु-कारक प्रमाणीकरण (एमएफए) सक्षम होने पर भी क्रेडेंशियल चुरा सकता है और अब तक 10,000 से अधिक संगठनों से समझौता करने का प्रयास कर चुका है।

सिस्को ने अपनी घटना प्रतिक्रिया पर प्रकाश डाला

सिस्को टैलोस रिपोर्ट के अनुसार, हमले के जवाब में, सिस्को ने तुरंत एक कंपनी-व्यापी पासवर्ड रीसेट लागू किया।

उन्होंने लिखा, "हमारे निष्कर्ष और बाद में उन ग्राहक जुड़ावों के परिणामस्वरूप सुरक्षा सुरक्षा ने हमें धीमा करने और हमलावर की प्रगति को रोकने में मदद की।"

कंपनी ने तब दो क्लैम एंटीवायरस सिग्नेचर (Win.Exploit.Kolobko-9950675-0 और Win.Backdoor.Kolobko-9950676-0) बनाए, ताकि किसी भी संभावित अतिरिक्त समझौता किए गए एसेट को कीटाणुरहित किया जा सके। क्लैम एंटीवायरस सिग्नेचर (या क्लैमएवी) एक क्रॉस-प्लेटफॉर्म एंटीमैलवेयर टूलकिट है जो विभिन्न प्रकार के मैलवेयर और वायरस का पता लगाने में सक्षम है।

"धमकी देने वाले आमतौर पर लक्ष्यों से समझौता करने के लिए सोशल इंजीनियरिंग तकनीकों का उपयोग करते हैं, और इस तरह के हमलों की आवृत्ति के बावजूद, संगठनों को उन खतरों को कम करने वाली चुनौतियों का सामना करना पड़ता है। इस तरह के हमलों को विफल करने में उपयोगकर्ता शिक्षा सर्वोपरि है, जिसमें यह सुनिश्चित करना शामिल है कि कर्मचारियों को वैध तरीके से पता है कि सहायक कर्मचारी उपयोगकर्ताओं से संपर्क करेंगे ताकि कर्मचारी संवेदनशील जानकारी प्राप्त करने के लिए धोखाधड़ी के प्रयासों की पहचान कर सकें, "सिस्को टैलोस ने लिखा।

समय टिकट:

से अधिक भाड़े