Спецпроекты

Безопасность Бизнес Техника

Хакеры, называющие себя именем бога смерти и ада, устроили погром в инфраструктуре Cisco

Шифровальная группировка Yanluowang утверждает, что в результате успешной атаки на инфраструктуру CiscoSystems вывела оттуда большое количество данных. В Cisco утверждают, что атаку остановили еще до того, как хакеры украли что-то важное или загрузили шифровальщик.

Ваши файлы?

Шифровальная группировка под названием Yanluowang (Яньло Ван или князь Яньло - китайское божество смерти и правитель ада, более-менее тождественный индуистскому богу смерти Яме) объявила, что успешно взломала инфраструктуру корпорации Cisco Systems. В качестве доказательства злоумышленники опубликовали некий список из 8110 строк с названиями каталогов и, вероятно, выведенных файлов.

В подразделении по информационной безопасности CiscoTalos, однако, утверждают, что хакерам удалось вывести только какие-то малозначимые данные, прежде чем их выставили взашей.

Злоумышленники предприняли несколько попыток повторно проникнуть в скомпрометированные системы, но они оказались тщетными.

По данным Talos, атака началась с того, что хакеры взломали личный аккаунт Google сотрудника Cisco. У него была активирована синхронизация через Google Chrome, а логин и пароль доступа в корпоративные системы хранились прямо в аккаунте Google.

После этого злоумышленники предприняли целую серию попыток обойти мультифакторную авторизацию, в том числе, с помощью голосового фишинга, а также через отправку большого количества push-уведомлений в надежде, что пользователь по ошибке одобрит хотя бы одно из них.

Название группировки Yanluowang отсылает к имени божества смерти Яньло Вана, правителя ада

Попытки оказались успешными: злоумышленники получили доступ к внутренним системам от лица атакованного пользователя. После этого они оперативно повысили свои привилегии до административных и начали пытаться получить доступ к самым разным системам. Кроме того, они загрузили средства удаленного доступа и другие хакерские инструменты, а также установили бэкдор-аккаунты и средства обеспечения присутствия в скомпрометированных системах.

Собственно, на этапе повышения привилегий специалисты по информационной безопасности ИБ и обнаружили, что происходит что-то подозрительное.

И меры были приняты

«Получив изначальный доступ в инфраструктуру, оператор атаки произвел ряд действий, нацеленных на поддержание доступа, минимизацию артефактов, которые могли бы помочь отследить их, и повысили свой уровень доступа к системам внутри инфраструктуры», — говорится в отчете Talos.

Злоумышленникам также удалось скомпрометировать ряд серверов Citrix и получить привилегированный доступ к доменным контроллерам.

Далее злоумышленники пытались добраться до баз данных с реквизитами доступа, а также извлечь эту информацию из системных реестров и памяти, удалили аккаунты, которые они создали и очистили системные логи, чтобы скрыть следы, поменяли настройки фаерволла, чтобы открыть RDP-доступ к системам и попытались вывести информацию.

Однако, как оказалось, они смогли украсть лишь содержимое каталога Box, связанного с изначально взломанным аккаунтом, и его авторизационные данные из ActiveDirectory.

По утверждению Cisco, на этом этапе злоумышленникам перекрыли доступ в системы компании, так что они не успели загрузить шифровальщики и не вывели ничего существенного.

«Если информация Cisco соответствует действительности (а утверждать обратного повода нет), то это пример профессиональной блокировки кибервторжения, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Но это также демонстрирует, что мультифакторная авторизация не гарантирует надежной защиты от компрометации: средств обойти ее немало».

Тем не менее, Yanluowang до сих пор пытаются вымогать деньги у Cisco, угрожая в противном случае опубликовать украденные данные. Атака произошла в конце мая 2022 г., но подробности о ней всплыли только сейчас.

В CiscoTalos считают, что за атакой могла стоять не сама Yanluowang, а какая-то тесно связанная с ней группа, которая специализируется на компрометации чужих систем и последующей продаже доступа к ним (InitialAccessBroker). Эта группа, считают в Talos, также тесно связана с группировками UNC2447 и Lapsus$.

Роман Георгиев

Короткая ссылка