Η Cisco επιβεβαίωσε πρόσφατα ότι ερευνά αναφορές για μεγάλη παραβίαση δεδομένων. Οι ισχυρισμοί εμφανίστηκαν αφού μια γνωστή ομάδα χάκερ, η IntelBroker, ισχυρίστηκε ότι είχαν αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα συστήματα της Cisco. Σε μια ανάρτηση σε ένα φόρουμ για το έγκλημα στον κυβερνοχώρο, η IntelBroker διευκρίνισε ότι παραβίασε τη Cisco στις 10 Ιουνίου 2024, κλέβοντας σημαντικό όγκο δεδομένων, που φέρεται να περιλαμβάνει πηγαίο κώδικα, εσωτερικά έγγραφα της Cisco και εμπιστευτικά δεδομένα πελατών.
Ποιος βρίσκεται πίσω από την παραβίαση δεδομένων της Cisco;
Ένας εκπρόσωπος της Cisco μοιράστηκε μια δήλωση με BleepingComputerλέγοντας, «Η Cisco γνωρίζει αναφορές ότι ένας ηθοποιός ισχυρίζεται ότι απέκτησε πρόσβαση σε ορισμένα αρχεία που σχετίζονται με τη Cisco. Ξεκινήσαμε έρευνα για να αξιολογήσουμε αυτόν τον ισχυρισμό και η έρευνά μας βρίσκεται σε εξέλιξη». Αυτή η δημόσια δήλωση υπογραμμίζει την προσεκτική προσέγγιση της Cisco, επιβεβαιώνοντας παράλληλα ότι η έρευνα είναι πράγματι σε εξέλιξη. Ο εκπρόσωπος, ωστόσο, δεν αποκάλυψε συγκεκριμένες λεπτομέρειες σχετικά με τη φύση ή την έκταση της υποτιθέμενης παραβίασης.
Η IntelBroker ισχυρίστηκε ότι συνεργάστηκαν με άλλα δύο άτομα, που προσδιορίζονται ως EnergyWeaponUser και “zjj”, για να αποκτήσουν πρόσβαση στα συστήματα της Cisco. Τα παραβιασμένα δεδομένα περιλαμβάνουν έργα από το GitHub, το GitLab και το SonarQube, μαζί με σκληρά κωδικοποιημένα διαπιστευτήρια, πιστοποιητικά SSL, κουβάδες αποθήκευσης AWS και Azure, διακριτικά API και πολλά άλλα. Ο ηθοποιός των απειλών δημοσίευσε επίσης δείγματα των κλεμμένων δεδομένων, τα οποία περιλαμβάνουν στιγμιότυπα οθόνης από διάφορες πύλες διαχείρισης πελατών, μια βάση δεδομένων και εσωτερική τεκμηρίωση της Cisco.
Τα δεδομένα φέρεται να κλάπηκαν από έναν τρίτο πάροχο διαχειριζόμενων υπηρεσιών που ασχολείται με την ανάπτυξη λογισμικού και τις υπηρεσίες DevOps της Cisco. Πηγές αναφέρουν ότι αυτός ο ίδιος προμηθευτής έχει αντιμετωπίσει παραβιάσεις που αφορούν άλλες μεγάλες εταιρείες, συμπεριλαμβανομένων των T-Mobile και Apple. Ωστόσο, παραμένει ασαφές εάν αυτός ο τρίτος πάροχος ήταν επίσης η αιτία των πρόσφατων προβλημάτων της Cisco.
Ποια δεδομένα φέρεται να παραβιάστηκαν;
Η ανάρτηση της IntelBroker περιγράφει ένα ευρύ φάσμα πληροφοριών που υποτίθεται ότι έχουν κλαπεί. Σύμφωνα με τον παράγοντα απειλών, τα παραβιασμένα δεδομένα περιλαμβάνουν έργα ανάπτυξης που φιλοξενούνται σε πλατφόρμες όπως το GitHub, το GitLab και το SonarQube, τα οποία είναι κρίσιμα για τις διαδικασίες ανάπτυξης λογισμικού της Cisco. Επιπλέον, οι χάκερ ισχυρίζονται ότι έχουν λάβει διαπιστευτήρια με σκληρό κώδικα ενσωματωμένα στον πηγαίο κώδικα, τα οποία θα μπορούσαν ενδεχομένως να παρέχουν μη εξουσιοδοτημένη πρόσβαση σε άλλα μέρη των συστημάτων της Cisco. Τα πιστοποιητικά ασφαλείας, συμπεριλαμβανομένων των πιστοποιητικών SSL και των δημόσιων και ιδιωτικών κλειδιών κρυπτογράφησης, φέρεται να παραβιάστηκαν, θέτοντας σε σοβαρό κίνδυνο τις ασφαλείς επικοινωνίες εντός του δικτύου της Cisco.
Τα κλεμμένα δεδομένα περιλαμβάνουν επίσης εσωτερικά έγγραφα με την ένδειξη «Cisco Confidential», τα οποία ενδέχεται να περιέχουν ευαίσθητες επιχειρησιακές πληροφορίες. Επιπλέον, οι χάκερ ισχυρίζονται ότι έχουν αποκτήσει πρόσβαση σε διακριτικά API και δεδομένα αποθήκευσης cloud, συμπεριλαμβανομένων των ιδιωτικών κουβάδων AWS και των κάδων αποθήκευσης Azure. Αυτά τα περιουσιακά στοιχεία θα μπορούσαν να χρησιμοποιηθούν για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε κρίσιμα συστήματα. Άλλα ευαίσθητα στοιχεία που αναφέρονται περιλαμβάνουν κατασκευές Docker, εισιτήρια Jira και λεπτομέρειες σχετικά με τα premium προϊόντα της Cisco.
Δυνητικά επηρεαζόμενες εταιρείες
Ενώ αυτοί οι ισχυρισμοί δεν έχουν ακόμη επαληθευτεί, η εμπλοκή τέτοιων οργανισμών υψηλού προφίλ έχει προκαλέσει σημαντική ανησυχία. Το εύρος των δυνητικά διακυβευμένων δεδομένων παρουσιάζει σοβαρούς κινδύνους όχι μόνο για τη Cisco αλλά και για τις επηρεαζόμενες εταιρείες και τους πελάτες τους.
Η IntelBroker έχει προσφέρει τα κλεμμένα δεδομένα προς πώληση σε γνωστό φόρουμ hacking. Σύμφωνα με την ανάρτησή τους, τα δεδομένα είναι διαθέσιμα για αγορά χρησιμοποιώντας το Monero (XMR), ένα κρυπτονόμισμα δημοφιλές για τα χαρακτηριστικά απορρήτου του. Ο χάκερ έχει επίσης εκφράσει την προθυμία του να χρησιμοποιήσει έναν μεσάζοντα για τη συναλλαγή, κάτι που είναι κοινή πρακτική μεταξύ των εγκληματιών του κυβερνοχώρου με στόχο να διασφαλιστεί η ανωνυμία κατά τη διαδικασία πώλησης. Χρησιμοποιώντας ένα κρυπτονόμισμα όπως το Monero και προσφέροντας να χρησιμοποιήσει έναν μεσάζοντα, η IntelBroker προσπαθεί να δυσκολέψει τις αρχές επιβολής του νόμου να παρακολουθούν τόσο τον πωλητή όσο και τον πιθανό αγοραστή.
Τα δεδομένα που φέρεται να προσφέρονται προς πώληση περιλαμβάνουν ευαίσθητες πληροφορίες, όπως πιστοποιητικά, διακριτικά API και διαπιστευτήρια που θα μπορούσαν να χρησιμοποιηθούν για πρόσβαση στα συστήματα της Cisco ή σε αυτά των πελατών της. Οι τακτικές της ομάδας χάκερ ακολουθούν μια ευρύτερη τάση στην οποία οι εγκληματίες του κυβερνοχώρου συχνά κερδίζουν χρήματα από κλεμμένα δεδομένα μέσω υπόγειων φόρουμ, μερικές φορές πουλώντας τα σε ανταγωνιστικές εταιρείες ή έθνη-κράτη.
Συνέπειες της παραβίασης δεδομένων της Cisco
Οι συνέπειες μιας επιβεβαιωμένης παραβίασης δεδομένων στη Cisco μπορεί να είναι σημαντικές, τόσο σε ό,τι αφορά τις οικονομικές απώλειες όσο και τη φήμη. Οι παραβιάσεις δεδομένων συχνά οδηγούν σε αρνητική δημοσιότητα, μειωμένη εμπιστοσύνη των πελατών και μείωση της αγοραίας αξίας της εταιρείας, τα οποία θα μπορούσαν να επηρεάσουν δυνητικά την απόδοση της Cisco. Πράγματι, οι μετοχές της Cisco Systems παρουσίασαν ελαφρά πτώση μετά τη δημοσιοποίηση της είδησης για την υποτιθέμενη παραβίαση. Το HackManac δημοσίευσε λεπτομέρειες σχετικά με την παραβίαση στην κοινωνική πλατφόρμα X (πρώην Twitter), με αποτέλεσμα οι μετοχές να πέφτουν από 0,30 $ σε 53,95 $ κατά τη διάρκεια της απογευματινής διαπραγμάτευσης.
🚨Ειδοποίηση παραβίασης δεδομένων ‼️
Η IntelBroker, σε συνεργασία με την EnergyWeaponUser και τη zjj, ισχυρίζεται ότι πουλά δεδομένα από μια πρόσφατη παραβίαση της Cisco.
Τα παραβιασμένα δεδομένα φέρονται να περιλαμβάνουν έργα GitHub και GitLab, έργα SonarQube, πηγαίο κώδικα, διαπιστευτήρια με σκληρό κώδικα, πιστοποιητικά,… pic.twitter.com/b3ZHbLs773
— HackManac (@H4ckManac) 14 Οκτωβρίου 2024
Αυτή η πτώση μπορεί να αντανακλά την αβεβαιότητα των επενδυτών, ιδίως υπό το φως των εκτεταμένων αξιώσεων της IntelBroker. Κατά τη στιγμή της γραφής, σύμφωνα με TradingView δεδομένα, η τιμή της μετοχής της Cisco βρίσκεται στα 54,16 δολάρια, δείχνοντας κάποια σταθεροποίηση μετά το περιστατικό.
Η απάντηση της Cisco μέχρι στιγμής
Η απάντηση της Cisco έχει μετρηθεί, παρέχοντας περιορισμένες πληροφορίες, επιβεβαιώνοντας παράλληλα ότι διερευνούν ενεργά τους ισχυρισμούς. Αυτή η προσέγγιση θα μπορούσε να υποδεικνύει ότι η εταιρεία εξακολουθεί να εργάζεται για να προσδιορίσει την πλήρη έκταση οποιασδήποτε παραβίασης που μπορεί να έχει συμβεί. Δεδομένης της εμπλοκής εταιρικών πελατών υψηλού προφίλ και της φύσης των κλεμμένων δεδομένων, είναι πιθανό η Cisco να αντιμετωπίσει σημαντική πίεση να παράσχει μια ολοκληρωμένη δημόσια δήλωση μόλις ολοκληρωθεί η έρευνα.
Το Hackread.com ανέφερε επίσης ότι επικοινώνησε με τη Cisco για σχόλια, αλλά δεν έχει λάβει ακόμη απάντηση. Εάν επιβεβαιωθούν οι ισχυρισμοί, η στρατηγική δημοσίων σχέσεων της Cisco πιθανότατα θα πρέπει να αντιμετωπίσει όχι μόνο το εύρος της επίθεσης αλλά και να παρέχει λεπτομέρειες σχετικά με τον τρόπο με τον οποίο σκοπεύουν να μετριάσουν πιθανούς μελλοντικούς κινδύνους.
IntelBroker: Ιστορικό παραβιάσεων δεδομένων
Η IntelBroker έχει ιστορικό παραβιάσεων δεδομένων υψηλού προφίλ. Νωρίτερα αυτό το έτος, η ομάδα χάκερ ανέλαβε την ευθύνη για την παραβίαση πολλών μεγάλων εταιρειών, συμπεριλαμβανομένων των T-Mobile, HPE και AMD. Κατά τη διάρκεια της επίθεσης στην Apple τον Ιούνιο του 2024, η IntelBroker ισχυρίστηκε ότι είχε κλέψει τον πηγαίο κώδικα που σχετίζεται με τα εσωτερικά εργαλεία της εταιρείας, ενώ στην περίπτωση της AMD, φέρεται να απέκτησαν πρόσβαση σε ευαίσθητες πληροφορίες εργαζομένων και προϊόντων.
Η αυξανόμενη προβολή της IntelBroker στην κοινότητα του εγκλήματος στον κυβερνοχώρο καθιστά τον πρόσφατο ισχυρισμό τους κατά της Cisco ιδιαίτερα ανησυχητικό. Ενώ μένει να δούμε αν όλες οι λεπτομέρειες είναι ακριβείς, οι προηγούμενες επιτυχίες της ομάδας χάκερ προσδίδουν ένα επίπεδο αξιοπιστίας στους παρόντες ισχυρισμούς. Οι υπηρεσίες επιβολής του νόμου, καθώς και οι επηρεαζόμενες εταιρείες, πιθανότατα παρακολουθούν στενά τις δραστηριότητες της IntelBroker καθώς προσπαθούν να κατανοήσουν πώς συνέβησαν αυτές οι παραβιάσεις και τι θα μπορούσε να γίνει για να μετριαστούν τέτοιοι κίνδυνοι στο μέλλον.
Πίστωση επιλεγμένης εικόνας: Cisco
VIA: DataConomy.com
