Details zum Einbruch bei Cisco – Einfallstor persönliches Google-Konto
Cisco wurde Opfer eines Cyber-Angriffs, bei dem Kriminelle Zugriff auf das interne Netz erlangten. Jetzt veröffentlicht das Unternehmen Details dazu.
Der Netzwerkausrüster Cisco ist Opfer eines Netzwerkeinbruchs geworden. Das Unternehmen gibt mit der Veröffentlichung der Untersuchungsergebnisse Einblicke in den Angriff. Sensible Daten hätten die Cyberkriminellen demzufolge jedoch nicht entwendet.
Spurensuche
Der Analyse zufolge bemerkte Cisco Ende Mai dieses Jahres einen Einbruch und setzte die eigenen Sicherheitsabteilungen CSIRT und Talos darauf an, um den Angriff einzudämmen und zu untersuchen. Dabei stellte sich heraus, dass die Angreifer Zugang zu einem persönlichen Google-Konto einer Mitarbeiterin oder eines Mitarbeiters erlangt hatten. In dem Google-Konto war die Synchronisierung von Passwörtern aktiv, sodass auch die Zugänge zu Cisco-Systemen in greifbare Nähe rückten.
Die Angreifer haben versucht, das Opfer via Telefonanruf und SMS dazu zu bringen, Anfragen einer Mehr-Faktor-Authentifizierung (MFA) zu bestätigen. Unter anderem haben sie zahlreiche SMS ausgelöst, um den oder die Angestellte dazu zu bringen, entweder aus Versehen einmal zu bestätigen oder einfach dazu, um wieder Ruhe zu haben. Irgendwann wurde tatsächlich eine Anfrage bestätigt und so ein Zugang zu Ciscos VPN freigegeben.
Damit haben die Angreifer initialen Zugriff erlangt. Sie haben dann umgehend Maßnahmen ergriffen, um sich im Netzwerk einzunisten und um es weiter auszuforschen. Unter anderem haben sie den Zugang für weitere Geräte mittels MFA freigeschaltet. Sie haben ihre Rechte zum Administrator ausgeweitet, was ihnen die Anmeldung an weitere Systeme ermöglichte. An dieser Stelle wurde das Cisco Security Incident Response Team (CSIRT) alarmiert.
Angreifer installieren zahlreiche Tools
Die IT-Forensiker haben eine Menge Tools der Angreifer gefunden. Die Einbrecher haben zu dem Zeitpunkt bereits Fernzugriff-Software wie LogMeIn oder TeamViewer installiert. Zudem "Sicherheitswerkzeuge" wie Cobalt Strike, PowerSploit, Mimikatz und Impacket. Des Weiteren haben sie Backdoor-Accounts mit Administratorrechten und Persistenzmechanismen zum dauerhaften Einnisten eingerichtet.
Bei dem Angriff haben Ciscos IT-Sicherheitsexperten mehrere Versuche beobachtet, Informationen über die Umgebung auszuschleusen. Es ließen sich lediglich Belege dafür finden, dass der einzige erfolgreiche Datenabfluss Inhalte eines Box-Ordners – eines Cloud-Speicher-Dienstes – beinhaltete. Der Ordner stand mit dem Konto des Opfers und dessen Active-Directory-Zugangsdaten in Verbindung. Darin hätten keine sensiblen Informationen gelegen, versichert das Unternehmen.
Nach der Abwehr des Angriffs und dem Ergreifen von Gegenmaßnahmen haben die IT-Experten noch einige Wochen weitere Zugriffsversuche beobachtet, mit denen die Cyberkriminellen erneut Zugang zum Netzwerk erlangen wollten. Sie setzten dabei vor allem auf schwache Passwörter nach mandatorischen Passwortwechseln, bei denen Mitarbeiter lediglich etwa ein Zeichen am Ende austauschen. Zunächst setzten die Angreifer auf Anonymisierungsdienste wie Tor, um später auf kompromittierte Zugänge in den USA umzuschwenken.
Internationale Verbandelung
Die Cyberkriminellen kontaktierten Cisco-Manager, teilweise mit Screenshots der Inhalte des Box-Ordners. Allerdings enthielten die Mails keine konkreten Geldforderungen oder Drohungen.
Die IT-Forensiker kommen zu dem Schluss, dass mit recht hoher Wahrscheinlichkeit eine Cybergang hinter den Angriffen steckt, die als sogenannter Initial Access Broker (IAB) arbeitet. Diese verkauft Zugänge an andere Cybergangs und habe in diesem Fall Beziehungen zur Lapsus$-Gang sowie der Gruppe UNC2447, die ihrerseits Verknüpfungen zu Russland habe. Zwar habe keine Ransomware-Attacke stattgefunden, aber Cisco habe frühere Verbindungen der Angreifer zur Ransomware-Gang Yanluowang gefunden.
Auf kritische Systeme wie Entwicklungssysteme oder solche zum Signieren von Code hätten die Einbrecher dem Unternehmen zufolge nicht zugreifen können. Cisco beschreibt in der ausführlichen Analyse zudem Indicators of Compromise (IoCs), Einstufung der Angriffstechniken gemäß Mitre Att&ck Mapping, beobachtete IP-Adressen der Angreifer sowie registrierte Domains etwa für Phishing-Angriffe auf die Mitarbeiter.
Themenseite zu Cybercrime auf heise online
(dmk)