Af Eskil Sørensen, 17/08/22
Hændelsen hos Cisco i sidste uge er et interessant studie i anvendelse af forskellige teknikker i forsøget på trænge ind i et netværk. For selv om hændelsen efter Ciscos oplysninger ikke har medført kompromittering af følsomme data, produkter osv, så har angrebet atter afsløret, at medarbejderne er det svage led – også i en ellers forventeligt professionel organisation med højt sikkerheds- og modenhedsniveau.
For angrebet blev muliggjort, efter at angribere stjal Cisco-legitimationsoplysninger fra en medarbejder ved at få kontrol over en personlig Google-konto. Altså et eksempel på, hvordan dårlig sikkerhed i privaten kan have betydning for sikkerhed på arbejdspladsen.
Voice-phishing
Legitimationsoplysningerne blev brugt sammen med voice-phishing-teknikker, hvor der blev anvendt forskellige accenter og dialekter. Hvor ’phisheren/phisherne’ udgav sig for at være forskellige betroede organisationer, der forsøgte at hjælpe Cisco-medarbejderen, indtil han eller hun accepterede en falsk MFA-meddelelse, der gav angriberne adgang til VPN.
Her skulle medarbejderen orienteret security response teamet eller noget så simpelt som at ringe tilbage.
Først inde spredte de sig sideværts til Citrix-servere - og opnåede til sidst privilegeret adgang til domænecontrollere. Som domæneadministrator betjente de værktøjer som ntdsutil, adfind og secretsdump til at eksfiltrere data og installere en bagdør og andre pay loads.
Roterende adgangskoder
Cisco var imidlertid i stand til at tilbagekalde angribernes adgang, men det afskrækkede dem åbenbart ikke, når der nu var ved at blive fanget en så stor fisk. De forsøgte at genetablere adgang flere gange, hvor de udnyttede medarbejdernes ’rotation af adgangskoder’.
Roterende adgangskoder er et udtryk for dårlig cyberhygiejne, som systemer burde sættes op til ikke at acceptere.
Angriberen forsøgte derefter at etablere e-mail-kommunikation med Cisco-chefer og viste kataloglister over deres bytte – en påstået 2,75 GB data indeholdende omkring 3.700 filer – og antydede, at Cisco kunne betale for at undgå at data blev afsløret.
Her bør chefer ikke være modtagelig over for afpresning , hvilket de givetvis heller ikke var.
Cisco skriver i sin rapport følgende: ’Baseret på opnåede artefakter, identificerede taktikker, teknikker og procedurer (TTP'er), anvendt infrastruktur og en grundig analyse af bagdøren brugt i dette angreb, vurderer vi, at dette angreb blev udført af en modstander, der har været tidligere identificeret som en initial access broker (IAB) med bånd til både UNC2447 og Lapsus$.’Cisco og tilføjede, at aktiviteten var forbundet med Yanluowang ransomware-banden.
Yanluowang ransomware, opkaldt efter en kinesisk guddom, bruges typisk mod finansielle institutioner, men har været kendt for at inficere virksomheder inden for fremstilling, it-services, rådgivning og ingeniørvirksomhed.
Interessant nok ser det ud til, at angriberne ikke var i stand til at installere ransomware i angrebet på Cisco.
’Selvom vi ikke observerede udrulning af ransomware i dette angreb, var de anvendte TTP'er i overensstemmelse med 'pre-ransomware-aktivitet' - aktivitet, der almindeligvis observeres før udrulningen af ransomware,’ konkluderede Cisco.
En anden konklusion er åbenlys: Medarbejderen er det svage led.
Links:
https://www.theregister.com/2022/08/11/cisco_corporate_network_compromised/
http://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
https://cert.dk/da/news/2022-08-15/Cisco-indroemmer-kompromittering