Bericht: Cyberkriminelle stehlen Cisco-Quellcode durch gestohlene Credentials
Nach der Supply-Chain-Attacke auf LiteLLM konnten Angreifer auf interne Cisco-Daten zugreifen, heiĂźt es. Sourcecode von Cisco und Kunden wurde wohl gestohlen.
(Bild: Anucha Cheechang/Shutterstock.com)
Cisco Systems ist angeblich Opfer eines Cyberangriffs geworden, bei dem Kriminelle auf Geräte der Entwicklungsabteilung zugreifen und Quellcode des US-Netzwerkspezialisten sowie von Kunden stehlen konnten. Das berichten anonyme Quellen eines Fachmagazins. Die Angreifer konnten sich demnach Zugriff auf interne Cisco-Daten und -Geräte verschaffen, nachdem sie entsprechende Anmeldeinformationen aus einem kürzlichen Angriff auf eine Open-Source-Bibliothek erlangt hatten.
Nach dieser Supply-Chain-Attacke auf LiteLLM sollten Betroffene ihre Credentials sofort ändern, aber das hat bei Cisco offenbar zu lange gedauert. Erst letzte Woche waren zwei LiteLLM-Pakete im Python Package Index (PyPI) kompromittiert und mit einem Credential-Stealer versehen worden. Dieser ist darauf ausgelegt, Daten abzugreifen, und sucht nach SSH-Keys, Umgebungsvariablen, Cloud-Provider-Credentials (AWS, GCP, Azure), Kubernetes-Token sowie Datenbankpasswörtern.
Cisco Opfer gestohlener GitHub-Credentials
Das betrifft auch Branchengrößen wie Cisco, wie Quellen von Bleeping Computer melden. Demnach konnten Cyberkriminelle anhand gestohlener Schlüssel für Amazon Web Services (AWS) unautorisierte Aktivitäten bei einer begrenzten Zahl von AWS-Konten Ciscos durchführen. Zudem haben die Angreifer durch die gestohlenen Anmeldeinformationen auf interne Systeme von Ciscos Entwicklungsabteilung zugreifen können. Welche Produkte und Kunden von den gestohlenen Quellcodes betroffen sind, ist unklar.
Videos by heise
Denn Cisco hat sich bislang nicht zu dem Vorfall geäußert. Die Quellen berichten aber, dass der Angriff durch entsprechende Maßnahmen eingegrenzt werden konnte. Die betroffenen Systeme wie Entwickler-Workstations würden demnach mit den letzten Backups neu aufgesetzt und Anmeldeinformationen werden weitreichend aktualisiert. Ob es sich bei dem Angreifer um TeamPCP handelt, das für die Supply-Chain-Attacke auf LiteLLM verantwortlich zeichnet, ist offen. TeamPCP greift laut Sicherheitsexperten bereits seit Ende Februar an und hangelt sich dabei offenbar mithilfe der jeweils gestohlenen Credentials von einem Projekt zum nächsten.
Während der jüngsten Cyberattacke wurden mehr als 300 GitHub-Repositories kopiert, heißt es. Das betrifft Quellcode für Produkte künstlicher Intelligenz wie KI-Assistenten, KI-Sicherheitslösungen und bislang unveröffentlichte Produkte. Teile der gestohlenen Repositorys gehören zu Großkunden Ciscos, etwa Banken und US-Behörden.
(fds)
