Cisco Systems Inc. заявила, что стала жертвой кибератаки, в ходе которой хакер неоднократно пытался получить доступ к корпоративной сети фирмы из Силиконовой долины.

Cisco заявила, что ей стало известно о потенциальном взломе 24 мая, и раскрыла ее в среду после того, как хакер выложил в даркнет список украденных файлов.

Расследование установило, что хакер проник в сеть Cisco, взломав личную учетную запись Google сотрудника, которая синхронизировала их сохраненные пароли в Интернете, сообщила компания из Сан-Хосе, штат Калифорния, в своем блоге, опубликованном в среду. Затем злоумышленник притворился доверенными организациями во время телефонных разговоров с сотрудником и успешно убедил сотрудника принять многофакторное push-уведомление аутентификации на свое устройство. Это позволило хакеру получить доступ к сети Cisco, используя учетные данные сотрудника.

Согласно блогу, Cisco «не обнаружила никаких доказательств того, что злоумышленник получил доступ к критически важным внутренним системам, таким как системы, связанные с разработкой продуктов , подписью кода и т. д.». «Единственная успешная утечка данных, которая произошла во время атаки, включала содержимое папки Box, которая была связана со взломанной учетной записью сотрудника . Данные, полученные злоумышленником в этом случае, не были конфиденциальными».

Следователи заявили, что, по их мнению, атака была проведена злоумышленником, который ранее был идентифицирован как посредник первоначального доступа для нескольких печально известных киберпреступных групп: операторов программ-вымогателей UNC2447, Lapsus$ и Yanluowang. Брокеры начального доступа пытаются получить привилегированный доступ к корпоративным компьютерным сетям, а затем продать его другим хакерам.

UNC2447 — это «агрессивная финансово мотивированная группа», которая нацелена на организации с программами-вымогателями в Европе и Северной Америке, заключила в прошлом году фирма по кибербезопасности Mandiant. По данным Symantec, Yanluowang, названный в честь китайского божества, представляет собой вариант программы-вымогателя, который использовался против американских корпораций с августа 2021 года. Группу Lapsus$ обвинили в массовых громких атаках на технологические компании, включая Okta Inc., Microsoft Corp. и Nvidia Corp.

Bloomberg News сообщил, что подозреваемым вдохновителем был 16-летний британский подросток, живущий в доме своей матери.

Cisco заявила, что обнаружила доказательства того, что хакер готовился зашифровать файлы, но не успел сделать это до того, как они были обнаружены и удалены. По данным Cisco, были неоднократные попытки восстановить доступ после того, как атака была остановлена.

О взломе ранее сообщал Bleeping Computer.