در همان روزی که گروه باج‌افزار یانلووانگ (Yanluowang) فهرستی ناقص از فایل‌هایی را که مدعی است، از سیسکو به سرقت برده منتشر کرد، گروه اطلاعات تالوس از سیسکو اعلام کرد که شرکت در واقع هک شده است.

در این تأییدیه که از طریق پست بلاگی تالوس منتشر شد، اشاره می‌شود که سیسکو برای اولین بار در ۲۴ مه از درز احتمالی داده‌ها آگاه شد. گروه واکنش به حادثه سایبری سیسکو بعداً تحقیقاتی انجام داد و نفوذ در شبکه را تأیید کرد.

چه کسی پشت هک سیسکو قرار دارد؟
سیسکو می‌گوید دسترسی اولیه به شبکه از طریق فیشینگ از حساب گوگل شخصی یکی از کارمندان انجام گرفته است. این نفوذ در نهایت به افشای اطلاعات کاربری و دسترسی به وی‌پی‌ان سیسکو منجر شد.

مسئولان تأیید کرده‌اند بازیگر تهدیدگری که نفوذ اولیه را انجام داده با گروه روسی موسوم به UNC2557 و همچنین گروه باج‌افزار یانلووانگ ارتباط دارد. این شخص تهدیدگر از شبکه اخراج شد و با وجود تلاش‌های متعدد در هفته‌های بعد برای نفوذ نتوانست دوباره وارد شود. همچنین، تاکتیک‌ها، فنون و رویه‌های این رویداد شباهت زیادی به روش‌های گروه Lapsus$ دارند. بسیاری از اعضای این گروه اوایل امسال دستگیر شدند.

دیدگاه تحلیلگر حوزه اطلاعات و تهدید
لوئیس فِرِت که متخصص هوش تهدید (Threat Intelligence) در سرچ‌لایت سکیوریتی است، می‌گوید: «اینکه یانلووانگ در توصیف این حادثه اغراق کرده باشد به دیدگاه بستگی دارد. تحلیل دایرکتوری درزیافته و بیانیه سیسکو نشان می‌دهد داده‌های درزیافته از نظر اندازه و محتوا، حساسیت یا اهمیت زیادی ندارند».

فرت اضافه می‌کند، «البته همانطور که در تعدادی از حمله‌های قبلی از جانب بازیگرهایی مانند Lapsus$ مشاهده کردیم، گاهی صرفاً نفوذ در شبکه شرکتی می‌تواند شهرت و اعتبار زیرزمینی لازم را برای بازیگر تهدیدگر فراهم کند. بازیگر تهدیدگر از این منابع و شهرت در حمله‌های آتی استفاده می‌کند که ممکن است از نظر مادی مخرب‌تر باشند».

همانطور که سیسکو در گزارش اولیه‌اش از این حادثه تأیید کرد، تاکتیک‌ها، فنون و رویه‌های به‌کاررفته نشان می‌دهند فردی که نفوذ اولیه را انجام داده و از گروه روسی UNC2447 می‌آید با گروه Lapsus$ که متحد شناخته‌شده این گروه است، پیوند دارد.

فرت می‌گوید «صفحه‌های اعلان فعالیت‌های اینترنتی (IABs) گاهی نقش پیمانکار را برای بازیگران تهدیدگر مختلف ایفا می‌کنند. بسیاری از هکرها دسترسی به شبکه‌های شرکتی را روی فروم‌های هکری مشهور در دارک وب به بالاترین قیمت می‌فروشند».

او نتیجه می‌گیرد که «این حمله را حتماً باید بخشی از روند بزرگ‌تری تلقی کرد که در آن بازیگران تهدیدگر باج‌افزار از روش‌های رمزنگاری و اخاذی ساده فراتر می‌روند و متنوع‌تر می‌شوند. یانلووانگ قبلاً ادعا کرده بود که به شبکه والمارت نفوذ کرده اما این شرکت اعلام کرد هیچ باج‌افزاری روی سیستم‌هایش وجود ندارند».

KELA، متخصص اطلاعات تهدید، همین هفته تأیید کرد که «چند بازیگر بدنام باج‌افزار و درز داده در سه‌ماهه دوم سال ۲۰۲۲ شناسایی شدند. REvil (Sodinokibi)، Stoormous و Lapsus$ دوباره فعال شده‌اند».

از طرف‌دیگر، Cyjax، شرکت دیگر اطلاعات تهدید، عملیات یانلووانگ را «حملات بسیار هدفمند»ی توصیف می‌کند که «با تمام قدرت تلاش می‌کنند تا سود را از طریق اخاذی به حداکثر برسانند». «حملات شامل درز اطلاعات از طریق حملات DDoS و سرقت داده‌ها می‌شوند اما به این موارد محدود نیستند».

سیسکو می‌گوید هیچ باج‌افزاری وجود ندارد
نکته مهم این است که سیسکو می‌گوید هیچ باج‌افزاری در حمله‌ای که آن را شناسایی کرده وجود ندارد. CSIRT گفته، «سیسکو اثری از این باج‌افزار روی کسب‌وکار ما پیدا نکرد. محصولات و سرویس‌ها، داده‌های حساس مشتری و اطلاعات حساس کارکنان، دارایی فکری و عملیات زنجیره تأمین آسیب ندیده‌اند. بازیگران بد در ۱۰ اوت فهرستی از فایل‌های به‌دست‌آمده از این حادثه امنیتی را در دارک وب منتشر کردند».

سیسکو رمز عبور کل شرکت را بعد از این حادثه تغییر داد. این شرکت به دلیل انتشار شفاف و کامل جزئیات فنی حادثه هک باید مورد تحسین قرار بگیرد.

منبع: peivast.com