Cisco Systems a admis que les données publiées dimanche par le gang de rançongiciels Yanluowang avaient été volées au géant des réseaux lors d’une cyberattaque plus tôt cette année.
Hier, dans un article de blog mis à jour, l’équipe de renseignement sur les menaces Talos de Cisco a déclaré que le contenu des fichiers publiés par le gang sur son site de fuite de données correspondait aux données de la liste des noms de fichiers que Yanluowang avait précédemment publiée prétendant provenir de l’entreprise.
Néanmoins, Cisco maintient qu’aucune donnée sensible de client, d’employé ou d’entreprise n’a été dérobée.
« Notre analyse précédente de cet incident demeure inchangée », indique l’article de blog. « Nous continuons de ne voir aucun impact sur nos activités, y compris les produits ou services Cisco, les données sensibles des clients ou les informations sensibles des employés, la propriété intellectuelle ou les opérations de la chaîne d’approvisionnement. »
Cisco a reconnu en août avoir réalisé le 24 mai qu’il y avait eu une « compromission potentielle ». Les informations d’identification d’un employé de l’entreprise avaient été compromises après qu’un attaquant ait pris le contrôle de son compte Google personnel où les informations d’identification enregistrées dans le navigateur de la victime étaient synchronisées. L’utilisateur avait activé la synchronisation du mot de passe via Google Chrome et avait stocké ses informations d’identification Cisco dans son navigateur, permettant à ces informations de se synchroniser avec son compte Google.
L’attaquant a ensuite lancé une série d’attaques de hameçonnage vocal sophistiquées sous le couvert de diverses organisations de confiance, tentant de convaincre la victime d’accepter les notifications poussées d’authentification multi-facteurs (AMF) initiées par l’attaquant, a déclaré Cisco. L’attaquant a finalement réussi à obtenir une acceptation d’une notification d’AMF poussée, lui donnant accès au VPN dans le contexte de l’utilisateur ciblé. Une fois que l’attaquant a obtenu l’accès initial, il a inscrit une série de nouveaux appareils à l’AMF et s’est authentifié avec succès auprès du VPN de Cisco. L’attaquant est ensuite passé aux privilèges administratifs, lui permettant de se connecter à plusieurs systèmes, ce qui a alerté l’équipe de réponse aux incidents de sécurité de Cisco.
Le cybercriminel a mené diverses activités pour maintenir l’accès, minimiser ses traces et augmenter son niveau d’accès aux systèmes de l’environnement avant d’être éjecté du système. Cette activité comprenait l’utilisation d’outils d’accès à distance tels que LogMeIn et TeamViewer, des outils de sécurité offensifs tels que Cobalt Strike, PowerSploit, Mimikatz et Impacket, ainsi que l’ajout des propres comptes de porte dérobée et mécanismes de persistance du gang.
Le service d’information Bleeping Computer a déclaré que le chef de Yanluowang lui avait dit que des milliers de fichiers de Cisco, y compris des documents classifiés, des schémas techniques et du code source, avaient été volés. Lorsque le site d’actualités a demandé des commentaires, Cisco a nié la possibilité que les intrus aient exfiltré ou accédé à tout code source.
Adaptation et traduction française par Renaud Larue-Langlois.
