{"id":271508,"date":"2022-08-11T18:01:04","date_gmt":"2022-08-11T16:01:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271508"},"modified":"2023-06-22T15:49:22","modified_gmt":"2023-06-22T13:49:22","slug":"cisco-gesteht-hack-im-mai-2022-ein-und-verffentlicht-details","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/11\/cisco-gesteht-hack-im-mai-2022-ein-und-verffentlicht-details\/","title":{"rendered":"Cisco gesteht Hack (im Mai 2022) ein und veröffentlicht Details"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der US-Anbieter Cisco wurde im Mai 2022 Opfer eines Cyberangriffs, bei dem Angreifer in die IT-Infrastruktur des Unternehmens eindringen konnten. Zum 10. August 2022 hat Cisco diesen Angriff \u00f6ffentlich gemacht – auch weil die Angreifer erbeutete Informationen ver\u00f6ffentlichten. Gleichzeitig hat Cisco Talos einige Informationen zu diesem Angriff ver\u00f6ffentlicht. Offenbar war das Cisco-Sicherheitsteam fr\u00fchzeitig auf die Angriffe aufmerksam geworden und konnte den Angreifer (Yanluowang Ransomware-Gang) bei seinen Aktivit\u00e4ten beobachten.<\/p>\n

<\/p>\n

\"\"Ich bin bereits vor einigen Stunden auf die Information gesto\u00dfen – nachfolgender Tweet<\/a> weist ebenfalls auf den Sachverhalt (Cyberangriff auf Cisco) hin.<\/p>\n

\"Cisco<\/a><\/p>\n

Was ist passiert?<\/h2>\n

Laut dem Cisco-Beitrag Cisco Event Response: Corporate Network Security Incident<\/a> vom 10. August 2022 ist das Unternehmen Opfer eines Cyberangriffs geworden. Hier der betreffende Text, den ich mal herausgezogen habe:<\/p>\n

September 11, 2022: Update<\/strong><\/p>\n

On September 11, 2022, the bad actors who previously published a list of file names from this security incident to the dark web, posted the actual contents of the same files to the same location on the dark web. The content of these files match what we already identified and disclosed.<\/p>\n

Our previous analysis of this incident remains unchanged\u2014we continue to see no impact to our business, including Cisco products or services, sensitive customer data or sensitive employee information, intellectual property, or supply chain operations.<\/p>\n

On May 24, 2022, Cisco identified a security incident targeting Cisco corporate IT infrastructure, and we took immediate action to contain and eradicate the bad actors. In addition, we have taken steps to remediate the impact of the incident and further harden our IT environment. No ransomware has been observed or deployed and Cisco has successfully blocked attempts to access Cisco's network since discovering the incident.<\/p>\n

Cisco did not identify any impact to our business as a result of this incident, including no impact to any Cisco products or services, sensitive customer data or sensitive employee information, Cisco intellectual property, or supply chain operations. On August 10 the bad actors published a list of files from this security incident to the dark web.<\/p>\n

Every cybersecurity incident is an opportunity to learn, strengthen our resilience, and help the wider security community. Cisco has updated its security products with intelligence gained from observing the bad actor's techniques, shared Indicators of Compromise (IOCs) with other parties, reached out to law enforcement and other partners, and is sharing further technical details via a\u00a0Talos blog<\/a>\u00a0to help cyber defenders learn from our observations.<\/p><\/blockquote>\n

Der Vorfall liegt bereits Monate zur\u00fcck, denn bereits am 24. Mai 2022 stellte Cisco einen Sicherheitsvorfall fest, der auf die IT-Infrastruktur des Unternehmens abzielte. Als Folge wurden zwar sofort Ma\u00dfnahmen ergriffen, um die Angreifer einzud\u00e4mmen und auszuschalten. Aber abseits des Marketing-Sprech: Die Angreifer waren bereits im IT-Netz des Unternehmens und hatten dort Zugriff auf Daten. Erst als im September 2022 Daten ver\u00f6ffentlicht wurden, musste man reagieren.<\/p>\n

Die guten Nachrichten, die Cisco in seinem Beitrag kommunizieren will: Zus\u00e4tzlich wurden Schritte unternommen, um die Auswirkungen des Vorfalls zu beheben und die IT-Umgebung weiter zu sch\u00fctzen. Es wurde keine Ransomware beobachtet oder eingesetzt, und Cisco hat seit der Entdeckung des Vorfalls erfolgreich Zugriffsversuche auf das Netzwerk von Cisco blockiert.<\/p>\n

Es wird auch angegeben, dass Cisco hat keine Auswirkungen dieses Vorfalls auf sein Gesch\u00e4ft festgestellt habe. Das gilt auch f\u00fcr Auswirkungen auf Cisco-Produkte oder -Dienste, sensible Kundendaten oder sensible Mitarbeiterinformationen, geistiges Eigentum von Cisco oder die Lieferkette.<\/p>\n

Ein Social Engineering-Angriff<\/h2>\n

In diesem Dokument<\/a> legt Cisco Talos die Details offen (das ist zu loben, da das meist im Dunkeln bleibt), wie der Angriff auf das Cisco-VPN gelingen konnte. Dazu hei\u00dft es:<\/p>\n

Der erste Zugriff auf das Cisco-VPN erfolgte durch die erfolgreiche Kompromittierung des pers\u00f6nlichen Google-Kontos eines Cisco-Mitarbeiters.<\/p><\/blockquote>\n

Der Benutzer hatte die Kennwortsynchronisierung \u00fcber Google Chrome aktiviert und seine Cisco-Anmeldedaten in seinem Browser gespeichert, so dass diese Informationen mit seinem Google-Konto synchronisiert werden konnten. Der Angreifer f\u00fchrte eine Reihe ausgekl\u00fcgelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauensw\u00fcrdiger Organisationen durch und versuchte, das Opfer davon zu \u00fcberzeugen, vom Angreifer initiierte Push-Benachrichtigungen zur Multi-Faktor-Authentifizierung (MFA) zu akzeptieren.<\/p>\n

Irgendwann gelang dem Angreifer schlie\u00dflich, vom Opfer eine Best\u00e4tigung auf zahllose MFA-Push-Nachrichten zu erhalten, die ihm Zugang zum VPN im Kontext des Zielbenutzers gew\u00e4hrte.<\/p>\n

Nachdem der Angreifer die Anmeldedaten des Benutzers erhalten hatte, versuchte er, die Multifaktor-Authentifizierung (MFA) mit einer Reihe von Techniken zu umgehen, darunter Voice-Phishing (auch als \"Vishing\" bekannt) und MFA fatigue, d. h. das Senden einer gro\u00dfen Anzahl von Push-Anfragen an das Mobilger\u00e4t der Zielperson, bis der Benutzer diese akzeptiert, entweder versehentlich oder einfach, um Ruhe von den wiederholten Push-Benachrichtigungen zu bekommen.<\/p>\n

Vishing ist eine zunehmend verbreitete Social-Engineering-Technik, bei der Angreifer versuchen, Mitarbeiter dazu zu bringen, vertrauliche Informationen \u00fcber das Telefon preiszugeben. In diesem Fall berichtete ein Mitarbeiter, dass er \u00fcber mehrere Tage hinweg mehrere Anrufe erhielt, in denen die Anrufer – die in Englisch mit verschiedenen internationalen Akzenten und Dialekten sprachen – vorgaben, mit Support-Organisationen verbunden zu sein, denen der Benutzer vertraute.<\/p><\/blockquote>\n

Nachdem der Angreifer den ersten Zugang zum Google Konto des Mitarbeiters erhalten hatte, meldete er eine Reihe neuer Ger\u00e4te f\u00fcr MFA an und authentifizierte sich erfolgreich beim Cisco VPN. Der Angreifer erlangte daraufhin Administratorrechte, die es ihm erm\u00f6glichten, sich bei mehreren Systemen anzumelden.<\/p>\n

Dieser Vorgang alarmierte das Cisco Security Incident Response Team (CSIRT), welches anschlie\u00dfend auf den Vorfall reagierte. Aus der Analyse geht hervor, dass der Angreifer beim Hack eine Reihe von Tools einsetzte. Darunter befanden sich Fernzugriffstools wie LogMeIn und TeamViewer, offensive Sicherheitstools wie Cobalt Strike, PowerSploit, Mimikatz und Impacket. Mittels der Administratorenberechtigungen und der Tools f\u00fcgte der Angreifer seine eigenen Backdoor-Konten und Persistenzmechanismen zum Cisco IT-Netzwerk hinzu.<\/p>\n

Der Bedrohungsakteur f\u00fchrte eine Reihe von Aktivit\u00e4ten durch, um den Zugriff auf das Netzwerk aufrechtzuerhalten, forensische Artefakte zu minimieren und seinen Zugriff auf die Systeme innerhalb der Umgebung zu erweitern. Dann begann er, die Umgebung zu durchsuchen, indem er g\u00e4ngige integrierte Windows-Dienstprogramme verwendete, um die Benutzer- und Gruppenmitgliedschaftskonfiguration des Systems sowie den Hostnamen zu ermitteln und den Kontext des Benutzerkontos zu identifizieren, unter dem er arbeitete.<\/p>\n

In regelm\u00e4\u00dfigen Abst\u00e4nden beobachteten die Cisco Talos Sicherheits-Teams, wie der Angreifer Befehle mit Tippfehlern eingab, was darauf hindeutet, dass in der Umgebung manuelle Eingriffe vorgenommen wurden. Der oder die Angreifer nutzten das den Zugang zum VPN \u00fcber das kompromittierte Benutzerkonto, um sich bei einer gro\u00dfen Anzahl von Systemen anzumelden. Dann drangen Sie in die Citrix-Umgebung ein, kompromittierten eine Reihe von Citrix-Servern und erlangten schlie\u00dflich privilegierten Zugriff auf Dom\u00e4nencontroller.<\/p>\n

Nachdem er sich Zugang zu den Dom\u00e4nencontrollern verschafft hatte, versuchte der Angreifer, mit der Datei \"ntdsutil.exe\" und einem PowerShell-Befehl NTDS-Dumps von den Domain Controllern zu erstellen. Anschlie\u00dfend arbeitete der Angreifer daran, die gesammelten NTDS-Daten \u00fcber SMB (TCP\/445) vom Dom\u00e4nencontroller per VPN auf das eigene System zu \u00fcbertragen. Der Angreifer wurde beobachtet, dass der nachdem er Zugriff auf die Anmeldedatenbanken hatte, Maschinenkonten f\u00fcr die privilegierte Authentifizierung und laterale Bewegungen in der Umgebung nutzte.<\/p>\n

In der Offenlegung liest es sich so, dass die Cisco-Sicherheitsteams den Angreifer im System \u00fcber Wochen verfolgte. Dieser nutzte die Zugriffsfunktionen auf dem Windows-Anmeldebildschirm, um eine Eingabeaufforderung auf SYSTEM-Ebene zu erstellen, die ihm die vollst\u00e4ndige Kontrolle \u00fcber das System erm\u00f6glichte. In mehreren F\u00e4llen beobachteten die Sicherheitsteams, dass der Angreifer diese Schl\u00fcssel hinzuf\u00fcgte, aber nicht weiter mit dem System interagierte. Es wird vermutet, dass dies m\u00f6glicherweise als Persistenzmechanismus geplant war, der sp\u00e4ter verwendet werden kann, wenn der prim\u00e4re privilegierte Zugriff entzogen wird.<\/p>\n

W\u00e4hrend des gesamten Angriffs haben die Sicherheitsteams Versuche beobachtet, Informationen aus der Umgebung zu exfiltrieren. Cisco best\u00e4tigte, dass die einzige erfolgreiche Datenexfiltration, die w\u00e4hrend des Angriffs stattfand, den Inhalt eines Box-Ordners umfasste, der mit dem Konto eines kompromittierten Mitarbeiters und den Authentifizierungsdaten des Mitarbeiters aus dem Active Directory verbunden war. Die Box-Daten, die der Angreifer in diesem Fall erlangte, waren nicht sensibel. Am 10. August 2022 wurde vom Angreifer eine Liste von Dateien aus diesem Sicherheitsvorfall im Dark Web ver\u00f6ffentlicht.<\/p>\n

Nachdem das Sicherheitsteam den Zugriff \u00fcber das VPN-Konto f\u00fcr den Angreifer unterbunden hatte, konnte man in den Folgewochen kontinuierliche Versuche, den Zugriff wiederherzustellen, beobachteten. In den meisten F\u00e4llen wurde der Angreifer dabei beobachtet, wie er nach der vorgeschriebenen Zur\u00fccksetzung von Passw\u00f6rtern durch die Mitarbeiter eine schwache Passwort-Rotationshygiene anwandte. Der oder die Angreifer hatten es vor allem auf Benutzer abgesehen, von denen sie annahmen, dass sie ihre fr\u00fcheren Passw\u00f6rter mit nur einem Zeichen ge\u00e4ndert hatten. Der oder die Angreifer versuchten, diese Anmeldedaten zu nutzen, um sich zu authentifizieren und wieder Zugang zum Cisco VPN zu erhalten.<\/p>\n

Die Angreifer nutzten zun\u00e4chst Dienste zur Anonymisierung des Datenverkehrs wie Tor. Nachdem sie jedoch nur begrenzten Erfolg hatten, gingen sie dazu \u00fcber, neue VPN-Sitzungen vom privaten IP-Raum aus aufzubauen, indem sie Konten nutzten, die bereits in der Anfangsphase des Angriffs kompromittiert worden waren. Bei der Reaktion auf den Angriff beobachteten die Cisco-Teams auch die Registrierung mehrerer zus\u00e4tzlicher Dom\u00e4nen, die auf die Organisation verwiesen, und ergriffen Ma\u00dfnahmen, bevor sie f\u00fcr b\u00f6sartige Zwecke verwendet werden konnten.<\/p>\n

Nachdem der Angreifer erfolgreich aus der Cisco-Umgebung entfernt worden war, versuchte der Angreifer auch wiederholt, E-Mail-Kommunikation mit leitenden Mitgliedern der Organisation herzustellen. Laut Cisco gab es jedoch keine konkreten Drohungen oder Erpressungsforderungen. Eine E-Mail enthielt einen Screenshot, der die Verzeichnisliste der Box-Daten zeigte, die zuvor wie oben beschrieben exfiltriert worden waren.<\/p>\n

\"Mail<\/p>\n

Bei Interesse k\u00f6nnen die Details in diesem CISCO-Beitrag<\/a> nachgelesen werden. Eine FAQ zum Vorfall hat Cisco hier<\/a> ver\u00f6ffentlicht. Die Kollegen von Bleeping Computer haben den Vorfall, der von der Yanluowang Ransomware-Gang ausging, und bei dem angeblich 2,8 GB an Daten gestohlen wurden, hier aufbereitet<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der US-Anbieter Cisco wurde im Mai 2022 Opfer eines Cyberangriffs, bei dem Angreifer in die IT-Infrastruktur des Unternehmens eindringen konnten. Zum 10. August 2022 hat Cisco diesen Angriff \u00f6ffentlich gemacht – auch weil die Angreifer erbeutete Informationen ver\u00f6ffentlichten. Gleichzeitig hat … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271508","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271508","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271508"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271508\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271508"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271508"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271508"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}