Cisco communique mi-août sur la cyberattaque ayant visé fin mai 2022 son infrastructure IT suite à la compromission du compte Google personnel d’un de ses collaborateurs. Une attaque d’hameçonnage qui serait en rapport, selon lui, avec le groupe UNC2447, l’auteur de la menace Lapsus$ et l’opérateur du rançongiciel Yanluowang.
« Aucun ransomware n’a été observé ou déployé et Cisco a réussi à bloquer les tentatives d’accès au réseau de Cisco depuis la découverte de l’incident » a déclaré le 10 août l’équipementier réseau américain. « nous n’avons identifié aucune preuve suggérant que l’attaquant a obtenu l’accès à des systèmes internes critiques, tels que ceux liés au développement de produits, à la signature de code, etc ».
Le jour même, Cisco confirme cependant que les pirates ont quand même publié sur le dark web une liste de fichiers qui seraient issus de cet « incident de sécurité ». Le fournisseur américain réaffirme cependant qu’il n’a « pas identifié d’impact sur son activité suite à cet incident, et notamment sur ses produits ou services, les données sensibles de ses clients ou les informations sensibles des employés, la propriété intellectuelle de Cisco ou les opérations de la chaîne d’approvisionnement ».
L’attaquant a pris le contrôle d’un compte Google personnel et mené des attaques d’hameçonnage vocal
L’enquête de Cisco et de la société de conseil en cybersécurité Talos sur la cyberattaque du 24 mai 2022 ferait apparaître que les informations d’identification d’un employé ont été compromises après qu’un attaquant a pris le contrôle via le VPN de Cisco d’un ou plusieurs comptes Google personnel, où les informations d’identification enregistrées dans le navigateur de la victime étaient synchronisées.
Selon Talos, « l‘attaquant a mené une série d’attaques sophistiquées d’hameçonnage vocal sous l’apparence de diverses organisations de confiance pour tenter de convaincre la victime d’accepter les notifications push d’authentification multifactorielle (MFA) lancées par l’attaquant. L’attaquant a finalement réussi à obtenir l’acceptation d’un push MFA, ce qui lui a permis d’accéder au VPN dans le contexte de l’utilisateur ciblé ».
Après avoir obtenu l’accès initial, le pirate a mené diverses activités pour maintenir l’accès, minimiser les artefacts médico-légaux et augmenter son niveau d’accès aux systèmes dans l’environnement. Mais même après avoir été retiré de l’environnement IT de Cisco, il a fait preuve de persistance selon Talos, en tentant à plusieurs reprises de regagner l’accès dans les semaines qui ont suivi l’attaque ; cependant, ces tentatives ont échoué.
Un attaque qui proviendrait d’UNC2447 (Lapsus$, Yanluowang)
Cisco et Talos estiment que cette attaque pourrait avoir été menée par un attaquant précédemment identifié comme un courtier d’accès initial (IAB) ayant des liens avec la bande de cybercriminels UNC2447, le groupe d’acteurs de la menace Lapsus$ et les opérateurs du ransomware Yanluowang.
Au final, Cisco déclare avoir mis à jour ses produits de sécurité grâce aux renseignements obtenus en observant les techniques des acteurs malveillants, a partagé les indicateurs de compromission (IOC) avec d’autres parties. L’équipementier a aussi contacté les forces de l’ordre et d’autres partenaires. Il partage également d’autres détails techniques via un blog Talos pour aider les cyberdéfenseurs à tirer des leçons de ses observations.
Le 18 août, l’Anssi publiait une alerte – en rapport avec l’événement ? – sur des vulnérabilités apparues dans le système d’exploitation Cisco AsyncOS for Secure Web Appliance des versions 14.5.x antérieures à 14.5.0-537. Une vulnérabilité a été découverte dans Cisco AsyncOS for Secure Web Appliance. Elle permet selon l’agence française « à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges ».