تایید نقض شبکه سیسکو توسط هک اکانت گوگل یکی از کارمندانش

تایید نقض شبکه سیسکو توسط هک اکانت گوگل یکی از کارمندانش

سیسکو نقض شبکه اش را تایید کرد و بیان کرد این هک از طریق اکانت گوگل یکی از کارمندانش صورت گرفته است. Cisco می گوید که مهاجمان از طریق VPN به اکانت گوگل یکی از کارمنداش دسترسی پیدا کرده اند. Cisco جزئیات هک ماه می توسط گروه باج افزار Yanluowang را فاش کرد و گفت که این هک از طریق اکانت گوگل یکی از کارمندان صورت گرفته است.

نقض شبکه سیسکو

این حمله باعث شد که محققان Cisco Talos این حمله را به گروه تهدید Yanluowang نسبت دهند. در نهایت، سیسکو تالوس گفت که هکرها در استقرار بدافزار باج‌افزار موفق نبودند، اما در نفوذ به شبکه و استقرار کادری از ابزارهای هک تهاجمی و انجام شناسایی شبکه‌های داخلی «که معمولاً منجر به استقرار باج‌افزار در محیط‌های قربانی می‌شود» موفق بودند.

نکته اصلی این هک، توانایی مهاجمان برای به خطر انداختن ابزار Cisco VPN کارمند مورد نظر و دسترسی به شبکه شرکتی با استفاده از نرم افزار VPN بود.

کاربر همگام سازی رمز عبور از طریق Google Chrome را فعال کرده بود و مجوز سیسکو خود را در مرورگر خود ذخیره کرده بود و این امکان را برای همگام سازی اطلاعات با اکانت گوگل خود فراهم می کرد.

مهاجمان با داشتن اعتبارنامه‌هایی که در اختیار داشتند، سپس از تکنیک‌های زیادی برای دور زدن احراز هویت چند عاملی مرتبط با کلاینت VPN استفاده کردند. تلاش‌ها شامل فیشینگ صوتی و نوعی حمله به نام  MFA بود. Cisco Talos تکنیک حمله MFA را اینگونه توصیف می‌کند: “فرایند ارسال حجم بالایی از درخواست‌های به دستگاه تلفن همراه هدف تا زمانی که کاربر بپذیرد، تصادفاً یا صرفاً برای غیرفعال کردن اعلان‌ها”.

حملات MFA علیه کارمند سیسکو در نهایت با موفقیت انجام شد و به مهاجمان اجازه داد تا نرم افزار VPN را به عنوان کارمند مورد نظر سیسکو اجرا کنند. محققان نوشتند: «هنگامی که مهاجم به دسترسی اولیه دست یافت، مجموعه‌ای از دستگاه‌های جدید را برای MFA رجیستر کرد و با موفقیت در Cisco VPN تأیید شد.

آن‌ها گفتند: «مهاجم سپس به مجوزهای اداری دست پیدا کرد و به آنها اجازه داد به سیستم‌های متعددی وارد شوند، که به تیم پاسخگویی به حوادث امنیتی سیسکو (CSIRT) هشدار داد، که متعاقباً به این حادثه پاسخ دادند.

ابزارهای مورد استفاده مهاجمان شامل LogMeIn و TeamViewer و همچنین ابزارهای امنیتی تهاجمی مانند Cobalt Strike، PowerSploit، Mimikatz و Impacket بود.

در حالی که MFA یک موقعیت امنیتی ضروری برای سازمان ها در نظر گرفته می شود، اما به دور از هک بودن است. ماه گذشته، محققان مایکروسافت یک کمپین فیشینگ بزرگ  را کشف  کردند که می‌توانستند گواهینامه ها و لایسنس ها را حتی در صورتی که کاربر احراز هویت چند عاملی (MFA) را فعال کرده باشد، دریافت کنند و تا کنون تلاش کرده اند بیش از 10000 سازمان را در معرض خطر قرار دهند.

اقدامات سیسکو برای فرار از این موقعیت چه بود

بر اساس گزارش Cisco Talos، در پاسخ به این حمله، سیسکو بلافاصله یک بازنشانی رمز عبور در سراسر شرکت را اجرا کرد.

آنها نوشتند: «یافته‌های ما و محافظت‌های امنیتی بعدی ناشی از این تعامل‌های کلاینت به ما کمک کرد پیشرفت مهاجم را کند کرده و مهار کنیم.

شرکت سپس دو ضد ویروس Clam (Win.Exploit.Kolobko-9950675-0 و Win.Backdoor.Kolobko-9950676-0) را به عنوان یک اقدام احتیاطی برای از بین بردن هر گونه آسیب احتمالی دیگر را اجرا کرد. Clam AntiVirus Signatures (یا ClamAV) یک جعبه ابزار ضد بدافزار چند پلتفرمی است که قادر به شناسایی انواع بدافزارها و ویروس ها است.

عاملان تهدید معمولاً از تکنیک‌های مهندسی اجتماعی برای به خطر انداختن اهداف خود استفاده می‌کنند و علیرغم فراوانی چنین حملاتی، سازمان‌ها همچنان با چالش‌هایی برای کاهش این تهدیدها مواجه هستند. Cisco Talos نوشت، آموزش کاربران در خنثی کردن چنین حملاتی بسیار مهم است، از جمله اطمینان از اینکه کارمندان از راه‌های قانونی تماس پرسنل پشتیبانی با کاربران اطلاع دارند تا کارمندان بتوانند تلاش‌های متقلبانه برای به دست آوردن اطلاعات حساس را شناسایی کنند.

منبع خبر: threatpost