Cisco Mengkonfirmasi Pelanggaran Jaringan Melalui Akun Google Karyawan yang Diretas

Cisco Systems mengungkapkan rincian peretasan Mei oleh kelompok ransomware Yanluowang yang memanfaatkan akun Google karyawan yang disusupi.

Raksasa jaringan menyebut serangan itu sebagai "potensi kompromi" dalam posting hari Rabu oleh cabang penelitian ancaman Cisco Talos milik perusahaan itu sendiri.

"Selama penyelidikan, ditentukan bahwa kredensial karyawan Cisco dikompromikan setelah penyerang menguasai akun Google pribadi di mana kredensial yang disimpan di browser korban sedang disinkronkan," tulis Cisco Talos dalam uraian panjang serangan itu.

Rincian forensik dari serangan tersebut mengarahkan peneliti Cisco Talos untuk mengaitkan serangan tersebut dengan kelompok ancaman Yanluowang, yang mereka pertahankan memiliki hubungan dengan UNC2447 dan geng siber Lapsus$ yang terkenal jahat.

Pada akhirnya, Cisco Talos mengatakan musuh tidak berhasil menyebarkan malware ransomware, namun berhasil menembus jaringannya dan menanam kader alat peretas ofensif dan melakukan pengintaian jaringan internal “biasanya diamati menjelang penyebaran ransomware di lingkungan korban.”

Mengakali MFA untuk Akses VPN

Inti dari peretasan adalah kemampuan penyerang untuk mengkompromikan utilitas Cisco VPN karyawan yang ditargetkan dan mengakses jaringan perusahaan menggunakan perangkat lunak VPN itu.

“Akses awal ke Cisco VPN dicapai melalui kompromi yang berhasil dari akun Google pribadi karyawan Cisco. Pengguna telah mengaktifkan sinkronisasi kata sandi melalui Google Chrome dan telah menyimpan kredensial Cisco mereka di browser mereka, memungkinkan informasi itu untuk disinkronkan ke akun Google mereka, ”tulis Cisco Talos.

Dengan kredensial yang mereka miliki, penyerang kemudian menggunakan banyak teknik untuk melewati otentikasi multifaktor yang terkait dengan klien VPN. Upaya termasuk phishing suara dan jenis serangan yang disebut kelelahan MFA. Cisco Talos menggambarkan teknik serangan kelelahan MFA sebagai "proses pengiriman volume tinggi permintaan push ke perangkat seluler target hingga pengguna menerima, baik secara tidak sengaja atau hanya untuk mencoba membungkam pemberitahuan push berulang yang mereka terima."

Grafik penipuan MFA serangan yang dimanfaatkan terhadap karyawan Cisco pada akhirnya berhasil dan memungkinkan penyerang menjalankan perangkat lunak VPN sebagai karyawan Cisco yang ditargetkan. “Setelah penyerang memperoleh akses awal, mereka mendaftarkan serangkaian perangkat baru untuk MFA dan berhasil mengautentikasi ke Cisco VPN,” tulis para peneliti.

“Penyerang kemudian meningkat ke hak administratif, memungkinkan mereka untuk masuk ke beberapa sistem, yang memberi tahu Tim Respons Insiden Keamanan Cisco (CSIRT) kami, yang kemudian menanggapi insiden tersebut,” kata mereka.

Alat yang digunakan oleh penyerang termasuk LogMeIn dan TeamViewer dan juga alat keamanan ofensif seperti Cobalt Strike, PowerSploit, Mimikatz dan Impacket.

Sementara MFA dianggap sebagai postur keamanan penting bagi organisasi, itu jauh dari anti-retas. Bulan lalu, Peneliti Microsoft menemukan masif Phishing kampanye yang dapat mencuri kredensial bahkan jika pengguna mengaktifkan autentikasi multi-faktor (MFA) dan sejauh ini telah berupaya untuk membahayakan lebih dari 10,000 organisasi.

Cisco Menyoroti Tanggapan Insidennya

Menanggapi serangan itu, Cisco segera menerapkan reset kata sandi di seluruh perusahaan, menurut laporan Cisco Talos.

“Temuan kami dan perlindungan keamanan selanjutnya yang dihasilkan dari keterlibatan pelanggan tersebut membantu kami memperlambat dan menahan perkembangan penyerang,” tulis mereka.

Perusahaan kemudian membuat dua tanda tangan Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 dan Win.Backdoor.Kolobko-9950676-0) sebagai tindakan pencegahan untuk mendisinfeksi aset tambahan yang mungkin disusupi. Clam AntiVirus Signatures (atau ClamAV) adalah toolkit antimalware lintas platform yang mampu mendeteksi berbagai malware dan virus.

“Aktor ancaman biasanya menggunakan teknik rekayasa sosial untuk mengkompromikan target, dan terlepas dari frekuensi serangan seperti itu, organisasi terus menghadapi tantangan untuk mengurangi ancaman tersebut. Edukasi pengguna sangat penting dalam menggagalkan serangan tersebut, termasuk memastikan karyawan mengetahui cara yang sah bahwa personel pendukung akan menghubungi pengguna sehingga karyawan dapat mengidentifikasi upaya penipuan untuk mendapatkan informasi sensitif, ”tulis Cisco Talos.