Поделиться
За атаку на совершенно посторонний софт дорого заплатит Cisco
Корпорация Cisco пытается минимизировать последствия крупномасштабного взлома, который стал возможен благодаря атаке на цепочку поставок стороннего продукта
Плохо лежавшие исходники
Неизвестные хакеры нанесли визит вежливости облачной инфраструктуре корпорации Cisco и смогли похитить некоторую часть исходного кода продуктов самой компании, и, возможно, её клиентов.
По данным издания Bleeping Computer, взлом стал следствием успешной атаки на цепочку поставок сканера уязвимостей Trivy, в ходе которой злоумышленники смогли внедрить в GitHub и обеспечить распространение вредоносной версии сканера. Как следствие, у хакеров появилась возможность украсть данные учётных записей CI/CD у организаций, которые использовали Trivy.
Злоумышленники, которых исследователи обозначили как TeamPCP, явно специализируются на подобных атаках: ранее они пытались скомпрометировать самые разные проекты на GitHub, PyPi, NPM и Docker. В частности, им удалось внедрить вредоносное содержимое в пакеты LiteLLM PyPI и Checkmarx KICS. В обоих случаях имело место распространение вредоносов, крадущих данные.
Источник, пожелавший остаться анонимным, сообщил изданию Bleeping Computer, что группы Cisco Unified Intelligence Center, CSIRT и EOC смогли локализовать утечку данных, хотя и не пресечь её полностью.
Злоумышленники использовали вредоносный плагин GitHub Action для вывода реквизитов доступа и данных из среды разработки компании. Взлом затронул десятки устройств, включая некоторые рабочие станции разработчиков.
Последствия будут. Масштабные
В результате взлома были украдены многочисленные ключи AWS, которые впоследствии использовались для несанкционированных действий в небольшом количестве учетных записей Cisco AWS. Компания Cisco изолировала затронутые системы, начала их переустановку и проводит ротацию учетных данных, которые могли быть затронуты.
Источники Bleeping Computer отметил, что в ходе инцидента было клонировано более 300 репозиториев GitHub, включая исходный код продуктов компании, использующих искусственный интеллект (AI Assistants, AI Defense и других), а также еще не выпущенных продуктов.
Обращает на себя внимание, что в ходе другого инцидента произошла утечка исходных кодов Anthropic Claude, хотя в том случае о взломе речи не шло. Тем не менее, два подобных инцидента могут иметь последствия для всего рынка: заинтересованные в том, чтобы изучить и скопировать подобные разработки найдутся с гарантией.
Часть перехваченных репозиториев принадлежит корпоративным клиентам Cisco, в том числе банкам, аутсорсинговым компаниям и госучреждениям США. Опять же, очевидно, что и эти данные очень быстро найдут покупателя.
«Продукты Cisco глубоко интегрированы в цифровые инфраструктуры во многих странах, так что масштабы последствий могут оказаться куда более драматичными, чем представляется на данный момент, - полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - И в любом случае, те данные, которые украдены к настоящему моменту, явно принесут большие барыши тем, кто выставит их на продажу».
Несколько источников сообщили Bleeping Computer, что в взломах Cisco CI/CD и учетных записей AWS участвовали сразу несколько акторов, демонстрировавших разную степень активности.
Поделиться
Короткая ссылка
