Компания Cisco пала под натиском китайских хакеров

Корпоративная сеть Cisco взломана бандой вымогателей

10 августа Cisco подтвердила, что хакерская группа Yanluowang в конце мая с помощью программ-вымогателей взломала корпоративную сеть компании, пытаясь вымогать у Cisco деньги под угрозой утечки украденных файлов в Интернет. Компания сообщила, что злоумышленникам удалось собрать и украсть только несущественные данные из папки Box, привязанной к скомпрометированной учетной записи сотрудника. Напомним, что Microsoft Box - это служба, которая обеспечивает защиту, синхронизацию и общий доступ к файлам. 10 августа представители Yanluowang опубликовали в Даркнете список файлов, похищенных в результате этого инцидента.По сообщениям представителей Cisco, утечка не оказала никакого влияния на бизнес компании, включая продукты или услуги Cisco, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок. Как заявили хакеры, всего было украдено 3100 файлов, представлявших собой соглашения о неразглашении, дампы данных и технические чертежи.

Хакеры получили доступ к сети Cisco, используя украденные учетные данные сотрудника, после того как перехватили его личный аккаунт Google, содержащий учетные данные, синхронизированные с браузером. Злоумышленники убедили сотрудника Cisco принять push-уведомления с многофакторной аутентификацией (MFA) с помощью MFA-уведомлений и серии сложных голосовых фишинговых атак, инициированных группой Yanluowang, которая выдавала себя за доверенные организации поддержки. В конце концов, хакеры обманом заставили жертву принять одно из уведомлений MFA и получили доступ к VPN в контексте целевого пользователя. После того, как злоумышленники закрепились в корпоративной сети Cisco, они взломали серверы Citrix и получили привилегированный доступ к контроллерам домена. Специалисты Cisco в конечном счёте обнаружили присутствие хакеров и удалили их из корпоративной сети, хотя те ещё в течение нескольких недель предпринимали новые попытки восстановить доступ к серверам.