Firma Cisco niedawno potwierdziła, że bada zgłoszenia dotyczące poważnych naruszeń bezpieczeństwa danych. Twierdzenia wyszły na jaw po tym, jak znana grupa hakerów IntelBroker stwierdziła, że uzyskała nieautoryzowany dostęp do systemów Cisco. W poście na forum poświęconym cyberprzestępczości firma IntelBroker szczegółowo opisała, że 10 czerwca 2024 r. włamała się do Cisco, kradnąc znaczną ilość danych, która według doniesień obejmuje kod źródłowy, wewnętrzne dokumenty Cisco i poufne dane klientów.
Kto stoi za naruszeniem bezpieczeństwa danych Cisco?
Rzecznik Cisco podzielił się oświadczeniem Błyszczący Komputermówiąc: „Cisco wie o doniesieniach o tym, że pewien aktor rzekomo uzyskał dostęp do niektórych plików związanych z Cisco. Wszczęliśmy dochodzenie, aby ocenić to twierdzenie i jest ono w toku”. To publiczne oświadczenie podkreśla ostrożne podejście Cisco, potwierdzając jednocześnie, że dochodzenie rzeczywiście jest w toku. Rzecznik nie ujawnił jednak konkretnych szczegółów dotyczących charakteru i zakresu zarzucanego naruszenia.
IntelBroker twierdził, że współpracował z dwiema innymi osobami, zidentyfikowanymi jako EnergyWeaponUser i „zjj”, aby uzyskać dostęp do systemów Cisco. Zaatakowane dane obejmują projekty z GitHub, GitLab i SonarQube, a także zakodowane na stałe dane uwierzytelniające, certyfikaty SSL, zasobniki pamięci masowej AWS i Azure, tokeny API i wiele innych. Osoba zagrażająca opublikowała również próbki skradzionych danych, w tym zrzuty ekranu różnych portali do zarządzania klientami, bazę danych i wewnętrzną dokumentację Cisco.
Dane zostały rzekomo skradzione zewnętrznemu dostawcy usług zarządzanych, zajmującemu się tworzeniem oprogramowania i usługami DevOps firmy Cisco. Źródła wskazują, że ten sam dostawca doświadczył naruszeń z udziałem innych dużych firm, w tym T-Mobile i Apple. Nie jest jednak jasne, czy ten zewnętrzny dostawca był również przyczyną ostatnich problemów Cisco.
Jakie dane rzekomo zostały naruszone?
W poście IntelBroker omówiono szeroki zakres informacji, które rzekomo zostały skradzione. Według podmiotu zagrażającego zainfekowane dane obejmują projekty programistyczne hostowane na platformach takich jak GitHub, GitLab i SonarQube, które mają kluczowe znaczenie dla procesów tworzenia oprogramowania Cisco. Ponadto hakerzy twierdzą, że uzyskali zakodowane na stałe dane uwierzytelniające osadzone w kodzie źródłowym, które mogą potencjalnie zapewnić nieautoryzowany dostęp do innych części systemów Cisco. Według doniesień naruszone zostały także certyfikaty bezpieczeństwa, w tym certyfikaty SSL oraz publiczne i prywatne klucze szyfrowania, co stwarza poważne ryzyko dla bezpieczeństwa komunikacji w sieci Cisco.
Skradzione dane obejmują także dokumenty wewnętrzne oznaczone jako „Poufne Cisco”, które mogą zawierać wrażliwe informacje operacyjne. Co więcej, hakerzy twierdzą, że uzyskali dostęp do tokenów API i danych przechowywanych w chmurze, w tym prywatnych zasobników AWS i zasobników pamięci Azure. Zasoby te można wykorzystać w celu uzyskania nieautoryzowanego dostępu do kluczowych systemów. Inne wrażliwe elementy na liście obejmują kompilacje Dockera, bilety Jira i szczegóły dotyczące produktów premium Cisco.
Potencjalnie dotknięte firmy
IntelBroker twierdzi, że naruszenie może mieć wpływ na wiele znanych korporacji. Domniemane ofiary działają w wielu branżach, w tym w telekomunikacji, finansach i technologii, co budzi obawy dotyczące potencjalnego narażenia kluczowych aktywów. Wśród potencjalnych ofiar wymieniono firmy telekomunikacyjne, takie jak Verizon, AT&T (w USA i Meksyku), British Telecom, Vodafone (w Albanii i Australii) oraz T-Mobile (w USA i Polsce). W sektorze finansowym według doniesień dotknięte są główne podmioty, takie jak Bank of America, Barclays i National Australian Bank. Ponadto organizacje technologiczne i zdrowotne, w tym Microsoft, Liberty Global i Dignity Health, również są wymienione jako ofiary rzekomego naruszenia.
Choć twierdzenia te nie zostały jeszcze zweryfikowane, zaangażowanie tak znanych organizacji wzbudziło poważne obawy. Zakres potencjalnie zagrożonych danych stwarza poważne ryzyko nie tylko dla Cisco, ale także dla dotkniętych firm i ich klientów.
IntelBroker wystawił skradzione dane na sprzedaż na znanym forum hakerskim. Zgodnie z ich postem dane można kupić za pomocą Monero (XMR), kryptowaluty popularnej ze względu na funkcje prywatności. Haker wyraził także chęć wykorzystania do transakcji pośrednika, co jest powszechną praktyką wśród cyberprzestępców, których celem jest zapewnienie anonimowości podczas procesu sprzedaży. Używając kryptowaluty takiej jak Monero i oferując pośrednika, IntelBroker próbuje utrudnić organom ścigania śledzenie zarówno sprzedawcy, jak i potencjalnego kupującego.
Dane oferowane na sprzedaż obejmują informacje wrażliwe, takie jak certyfikaty, tokeny API i dane uwierzytelniające, które można wykorzystać do uzyskania dostępu do systemów Cisco lub jej klientów. Taktyka grupy hakerów wpisuje się w szerszy trend, zgodnie z którym cyberprzestępcy często zarabiają na skradzionych danych za pośrednictwem nielegalnych forów, a czasami nawet sprzedają je konkurencyjnym firmom lub państwom narodowym.
Konsekwencje naruszenia danych Cisco
Konsekwencje potwierdzonego naruszenia bezpieczeństwa danych dla Cisco mogą być znaczące, zarówno w postaci strat finansowych, jak i utraty reputacji. Naruszenia danych często skutkują negatywnym rozgłosem, zmniejszeniem zaufania klientów i spadkiem wartości rynkowej firmy, a wszystko to może potencjalnie wpłynąć na wyniki finansowe Cisco. Rzeczywiście, akcje Cisco Systems odnotowały niewielki spadek po upublicznieniu wiadomości o rzekomym naruszeniu. HackManac opublikował szczegółowe informacje na temat naruszenia na platformie społecznościowej X (dawniej Twitter), co doprowadziło do spadku akcji akcji o 0,30 USD do 53,95 USD podczas popołudniowego handlu.
🚨Powiadomienie o naruszeniu danych ‼️
IntelBroker we współpracy z EnergyWeaponUser i zjj twierdzi, że sprzedaje dane pochodzące z niedawnego włamania do Cisco.
Według doniesień zainfekowane dane obejmują projekty GitHub i GitLab, projekty SonarQube, kod źródłowy, zakodowane na stałe dane uwierzytelniające, certyfikaty,… pic.twitter.com/b3ZHbLs773
— HackManac (@H4ckManac) 14 października 2024 r
Spadek ten może odzwierciedlać niepewność inwestorów, szczególnie w świetle obszernych twierdzeń IntelBroker. W chwili pisania tego tekstu, zgodnie z TradingView danych cena akcji Cisco wynosi 54,16 USD, co wskazuje na pewną stabilizację po incydencie.
Dotychczasowa odpowiedź Cisco
Reakcja firmy Cisco została zmierzona i dostarczyła ograniczonych informacji, potwierdzając jednocześnie, że firma aktywnie bada roszczenia. Takie podejście może wskazywać, że firma nadal pracuje nad określeniem pełnego zakresu wszelkich naruszeń, które mogły mieć miejsce. Biorąc pod uwagę zaangażowanie znanych klientów korporacyjnych i charakter skradzionych danych, prawdopodobne jest, że po zakończeniu dochodzenia Cisco stanie pod znaczną presją, aby przedstawić kompleksowe oświadczenie publiczne.
Serwis Hackread.com poinformował również, że zwrócił się do Cisco z prośbą o komentarz, ale nie otrzymał jeszcze odpowiedzi. Jeśli twierdzenia się potwierdzą, strategia public relations Cisco będzie prawdopodobnie musiała uwzględnić nie tylko zakres ataku, ale także podać szczegółowe informacje na temat sposobu, w jaki firma zamierza złagodzić potencjalne przyszłe ryzyko.
IntelBroker: historia naruszeń bezpieczeństwa danych
IntelBroker ma doświadczenie w przeprowadzaniu głośnych naruszeń danych. Na początku tego roku grupa hakerów przyznała się do włamań do kilku dużych firm, w tym T-Mobile, HPEI AMD. Podczas ataku na Apple w czerwcu 2024 roku IntelBroker twierdził, że ukradł kod źródłowy związany z wewnętrznymi narzędziami firmy, natomiast w przypadku AMD rzekomo uzyskał dostęp do wrażliwych informacji o pracownikach i produktach.
Rosnące znaczenie firmy IntelBroker w społeczności cyberprzestępczej sprawia, że jej niedawne roszczenia przeciwko Cisco są szczególnie niepokojące. Czas pokaże, czy wszystkie szczegóły są dokładne, ale wcześniejsze sukcesy tej grupy hakerów uwiarygodniają obecne zarzuty. Organy ścigania, a także zainteresowane firmy prawdopodobnie uważnie monitorują działania IntelBroker, próbując zrozumieć, w jaki sposób doszło do tych naruszeń i co można zrobić, aby złagodzić takie ryzyko w przyszłości.
Autor wyróżnionego obrazu: Cisco
