سیسکو نقض شبکه اش را تایید کرد و بیان کرد این هک از طریق اکانت گوگل یکی از کارمندانش صورت گرفته است. Cisco می گوید که مهاجمان از طریق VPN به اکانت گوگل یکی از کارمنداش دسترسی پیدا کرده اند. Cisco جزئیات هک ماه می توسط گروه باج افزار Yanluowang را فاش کرد و گفت که این هک از طریق اکانت گوگل یکی از کارمندان صورت گرفته است.
نقض شبکه سیسکو
این حمله باعث شد که محققان Cisco Talos این حمله را به گروه تهدید Yanluowang نسبت دهند. در نهایت، سیسکو تالوس گفت که هکرها در استقرار بدافزار باجافزار موفق نبودند، اما در نفوذ به شبکه و استقرار کادری از ابزارهای هک تهاجمی و انجام شناسایی شبکههای داخلی «که معمولاً منجر به استقرار باجافزار در محیطهای قربانی میشود» موفق بودند.
نکته اصلی این هک، توانایی مهاجمان برای به خطر انداختن ابزار Cisco VPN کارمند مورد نظر و دسترسی به شبکه شرکتی با استفاده از نرم افزار VPN بود.
کاربر همگام سازی رمز عبور از طریق Google Chrome را فعال کرده بود و مجوز سیسکو خود را در مرورگر خود ذخیره کرده بود و این امکان را برای همگام سازی اطلاعات با اکانت گوگل خود فراهم می کرد.
مهاجمان با داشتن اعتبارنامههایی که در اختیار داشتند، سپس از تکنیکهای زیادی برای دور زدن احراز هویت چند عاملی مرتبط با کلاینت VPN استفاده کردند. تلاشها شامل فیشینگ صوتی و نوعی حمله به نام MFA بود. Cisco Talos تکنیک حمله MFA را اینگونه توصیف میکند: “فرایند ارسال حجم بالایی از درخواستهای به دستگاه تلفن همراه هدف تا زمانی که کاربر بپذیرد، تصادفاً یا صرفاً برای غیرفعال کردن اعلانها”.
حملات MFA علیه کارمند سیسکو در نهایت با موفقیت انجام شد و به مهاجمان اجازه داد تا نرم افزار VPN را به عنوان کارمند مورد نظر سیسکو اجرا کنند. محققان نوشتند: «هنگامی که مهاجم به دسترسی اولیه دست یافت، مجموعهای از دستگاههای جدید را برای MFA رجیستر کرد و با موفقیت در Cisco VPN تأیید شد.
آنها گفتند: «مهاجم سپس به مجوزهای اداری دست پیدا کرد و به آنها اجازه داد به سیستمهای متعددی وارد شوند، که به تیم پاسخگویی به حوادث امنیتی سیسکو (CSIRT) هشدار داد، که متعاقباً به این حادثه پاسخ دادند.
ابزارهای مورد استفاده مهاجمان شامل LogMeIn و TeamViewer و همچنین ابزارهای امنیتی تهاجمی مانند Cobalt Strike، PowerSploit، Mimikatz و Impacket بود.
در حالی که MFA یک موقعیت امنیتی ضروری برای سازمان ها در نظر گرفته می شود، اما به دور از هک بودن است. ماه گذشته، محققان مایکروسافت یک کمپین فیشینگ بزرگ را کشف کردند که میتوانستند گواهینامه ها و لایسنس ها را حتی در صورتی که کاربر احراز هویت چند عاملی (MFA) را فعال کرده باشد، دریافت کنند و تا کنون تلاش کرده اند بیش از 10000 سازمان را در معرض خطر قرار دهند.
اقدامات سیسکو برای فرار از این موقعیت چه بود
بر اساس گزارش Cisco Talos، در پاسخ به این حمله، سیسکو بلافاصله یک بازنشانی رمز عبور در سراسر شرکت را اجرا کرد.
آنها نوشتند: «یافتههای ما و محافظتهای امنیتی بعدی ناشی از این تعاملهای کلاینت به ما کمک کرد پیشرفت مهاجم را کند کرده و مهار کنیم.
شرکت سپس دو ضد ویروس Clam (Win.Exploit.Kolobko-9950675-0 و Win.Backdoor.Kolobko-9950676-0) را به عنوان یک اقدام احتیاطی برای از بین بردن هر گونه آسیب احتمالی دیگر را اجرا کرد. Clam AntiVirus Signatures (یا ClamAV) یک جعبه ابزار ضد بدافزار چند پلتفرمی است که قادر به شناسایی انواع بدافزارها و ویروس ها است.
عاملان تهدید معمولاً از تکنیکهای مهندسی اجتماعی برای به خطر انداختن اهداف خود استفاده میکنند و علیرغم فراوانی چنین حملاتی، سازمانها همچنان با چالشهایی برای کاهش این تهدیدها مواجه هستند. Cisco Talos نوشت، آموزش کاربران در خنثی کردن چنین حملاتی بسیار مهم است، از جمله اطمینان از اینکه کارمندان از راههای قانونی تماس پرسنل پشتیبانی با کاربران اطلاع دارند تا کارمندان بتوانند تلاشهای متقلبانه برای به دست آوردن اطلاعات حساس را شناسایی کنند.
منبع خبر: threatpost