Af Eskil Sørensen, 15/08/22
Cisco oplyste i sidste uge, at dens virksomhedsnetværk har været tilgået af cyberkriminelle i maj i år, efter at en medarbejders personlige Google-konto blev kompromitteret. Det skriver The Register.
Indrømmelsen fra Cisco kom efter at en liste over filer, der blev tilgået under hændelsen, dukkede op på Dark Web. I en erklæring fra Cisco hedder det, at virksomheden ikke har konstateret indvirkning på forretningen som følge af hændelsen, Cisco-produkter, -tjenester eller følsomme data.
Angiveligt var der kun eksfiltreret data fra en konto med cloud storage locker Box, der var forbundet med en kompromitteret medarbejders konto.
Imageskade
Men. Angriberen har nået at bruge lidt tid inde i Ciscos it og fik ifølge Talos adgang til Cisco-netværk, fik tilmeldt en række enheder til MFA og blev godkendt til Cisco VPN. Øjensynligt blev Cisco Security Incident Response Team (CSIRT) alarmeret, da angriberen eskalerede til administrative rettigheder, så han/hun/den kunne logge på flere systemer.
Det gjorde, at Ciscos CSIRT iværksatte it-overvågning og afhjælpning for at ’implementere yderligere beskyttelse, blokere enhver uautoriseret adgangsforsøg og afbøde sikkerhedstruslen.’ Der blev også gjort en indsats for at forbedre medarbejdernes cybersikkerhedshygiejne.
Cisco oplyser, at årsagen til, at hændelsen først afsløres nu - mere end tre måneder efter kompromiset - var, at Cisco aktivt havde forsøgt at indsamle oplysninger om trusselsaktøren. Man må gå ud fra, at der med dette menes, at Cisco ønskede at bidrage til opklaringsarbejdet for bl.a. at identificere den eller de skyldige.
Men da filer fra hændelsen var blevet publiceret på Dark Web, så Cisco sig nødsaget til at orientere offentligheden om angrebet.
Om Ciscos image lider skade af dette, må tiden vise.
Links:
https://www.theregister.com/2022/08/11/cisco_corporate_network_compromised/
http://blog.talosintelligence.com/2022/08/recent-cyber-attack.html