Cisco Systems, leader mondial des réseaux confirme qu’il a été victime d’un cyber attaque durant laquelle des pirates informatiques ont maintes fois essayé de s’immiscer dans le réseau de l’entreprise. Cela s’est passé au mois de mai 2022. L’équipe de Cisco a pu identifier les malfaiteurs qui semble-t-il font partie du gang Yanluowang Ransomware. La firme américaine confirme une intrusion sur les serveurs Citrix et aux contrôleurs de domaine. Les intrus ont utilisé la faiblesse humaine pour s’introduire dans le réseau, mais l’équipe de Cisco a pu réagir rapidement.
Intrusion dans le réseau de Cisco par détournement d’informations d’identifications
Les responsables de l’attaque Yanluowang ont eu accès au réseau de Cisco en détournant les informations d’identification du compte Google personnel d’un employé de la firme. Ces données d’identifications étaient synchronisées à partir de son navigateur. Pour ce faire, les cybercriminels ont réussi à faire en sorte que l’employé accepte des notifications push d’authentification multifactorielle, et aussi une série d’attaque sophistiquées de phishing vocal se faisant passer pour des organisations de confiance.
Voir notre article sur les 10 règles de bonne conduite pour la sécurité informatique
Une fois que l’employé a été convaincu d’accepter une de ces notifications, les intrus ont pu accéder au VPN dans le contexte d’utilisateur ciblé. Une fois dans le réseau d’entreprise, ils ont pu naviguer dans l’environnement Citrix compromettant par leurs actions une série de serveur Citrix, pour finir par obtenir un accès privilégié aux contrôleurs de domaine selon les affirmations de Cisco Talos.
Une attaque avec peu d’impact grâce à la réactivité de l’équipe de Cisco Systems
Cisco note également qu’après avoir obtenu l’administration du domaine, ils ont utilisé des outils d’énumération afin d’obtenir d’avantage de données. En même temps, ils ont installé une série de charges utiles ainsi qu’une porte dérobée sur les systèmes compromis, avant d’être expulsés de l’environnement de Cisco Systems, leader mondial des réseaux. Ils se sont également évertués à augmenter leurs niveaux d’accès aux systèmes.
Malgré les diverses tactiques pour maintenir l’accès au réseau une fois qu’ils s’y sont introduit, les acteurs de la menace n’ont pas pu se reconnecter une fois expulsés malgré de multiples tentatives.
Selon Cisco, il n’y a pas eu de grosses pertes à déplorer suite à cette intrusion par le gang Yanluowang Ransomware, bien que ce dernier se soit vanté de son méfait sur le darkweb en publiant une liste de fichiers obtenus lors de cet incident de sécurité. L’équipe de Cisco Systems affirme que les produits et/ou services Cisco, les données sensibles de leurs clients et les informations sensibles des employés ainsi que les propriétés intellectuelles et opérations de la chaîne d’approvisionnement sont en sécurité. Des mesures supplémentaires ont été mises en place pour améliorer la protection des systèmes et partager les détails techniques dans le but de contribuer à la protection de la communauté de sécurité au sens large.