image

Cisco eerder dit jaar getroffen door aanval van ransomwaregroep

donderdag 11 augustus 2022, 00:03 door Redactie, 17 reacties

Cisco is eerder dit jaar getroffen door een aanval van een ransomwaregroep, waarbij de aanvallers toegang kregen tot systemen van de netwerkgigant, zo heeft het bedrijf zelf bekendgemaakt. Bij de aanval zijn geen gegevens versleuteld, maar wel gestolen. De aanval werd eind mei door Cisco ontdekt maar is nu pas naar buiten gebracht.

De aanvaller wist via het persoonlijke Google-account van een Cisco-medewerker toegang tot het Cisco-vpn te krijgen. Deze medewerker had wachtwoordsynchronisatie via Google Chrome ingesteld en zijn Cisco-inloggegevens in de browser opgeslagen. Daardoor werden deze gegevens met het Google-account gesynchroniseerd. Hoe het account van de medewerker kon worden gecompromitteerd laat Cisco niet weten.

Nadat de aanvaller erin was geslaagd om de inloggegevens te bemachtigen gebruikte de aanvaller verschillende methodes om de tweefactorauthenticatie van Cisco te omzeilen, waaronder telefonische phishing en “MFA fatigue”, waarbij een doelwit wordt bestookt met pushnotificaties om de inlogpogingen van de aanvaller goed te keuren.

Nadat de aanvaller toegang had verkregen wist die verschillende eigen systemen voor tweefactorauthenticatie aan te melden en kon zo toegang tot het Cisco-van te krijgen. De aanvaller wist vervolgens adminrechten te krijgen, waardoor hij op meerdere Cisco-systemen kon inloggen. Dit veroorzaakte een waarschuwing waarop Cisco een onderzoek startte.

De aanvaller bleek meerdere tools te gebruiken, waaronder LogMeIn en TeamViewer, en tools zoals Cobalt Strike, PowerSploit, Mimikatz en Impacket. Ook voegde de aanvaller zijn eigen backdoor-accounts toe. De aanvaller probeerde vervolgens data te stelen. Dat is volgens Cisco beperkt tot alleen een "Box folder" van de in eerste instantie gecompromitteerde medewerker. Er is geen ransomware uitgerold, zo laat het netwerkbedrijf verder weten. De aanval zou door de Yanluowang-ransomwaregroep zijn uitgevoerd. Naar aanleiding van de aanval heeft Cisco in een blogposting allerlei technische details gedeeld en in mei van alle medewerkers het wachtwoord gereset.

Reacties (17)
11-08-2022, 07:59 door Quink
Waarom kan dat synchroniseren van bedrijfsgegevens met een privé account (in dit geval Google) niet geblokkeerd worden?
Dat is misschien wel een domme lekenvraag voor een IT specialist, maar dat is het eerste waar ik als computergebruiker met gemiddeld bewustzijn voor IT security aan denk.
11-08-2022, 09:25 door Anoniem
Door Quink: Waarom kan dat synchroniseren van bedrijfsgegevens met een privé account (in dit geval Google) niet geblokkeerd worden?
Dat is misschien wel een domme lekenvraag voor een IT specialist, maar dat is het eerste waar ik als computergebruiker met gemiddeld bewustzijn voor IT security aan denk.
Goede vraag en zeker als je geen IT specialist bent, kan ik je verwondering voorstellen. Hier gaat het eigenlijk om twee dingen, namelijk inloggen op de bedrijfsomgeving en het gebruik van een browser. Je kent vast de situatie als je ergens inlogt dat je browser vraagt 'Wilt u het wachtwoord opslaan?'. Als je daarna weer op dezelfde site wil inloggen, wordt het wachtwoord al voor je ingevuld. Dit is een functie van de webbrower, niet van de website.
Deze medewerker gebruikte Chrome en dat biedt de mogelijkheid om in de browser opgeslagen wachtwoorden met je account te synchroniseren. Daarmee krijg je dus als je op één computer je wachtwoord hebt opgeslagen, daarna op elke computer waarmee je wilt inloggen dat vooraf ingevulde wachtwoord. (mits je natuurlijk de Chrome browser onder je account gebruikt).

Deze functie om wachtwoorden te synchroniseren is dus iets van Chrome en Google, daar kan het bedrijf, Cisco in dit geval, weinig aan veranderen.

Wat mij zeer verwonderd is dat zowel de gebruiker als Cisco (!) blijkbaar geen multi factor authenticatie ingeschakeld had. Zeker voor het inloggen op bedrijfssystemen verwacht je anno 2022 het zogenaamde multifactor authenticatie en al helemaal als je een IT bedrijf als Cisco bent. Bij multi factor authenticatie moet je behalve een wachtwoord ook een code invoeren die je via SMS of een authenticatie app krijgt en die maar een beperkte tijd (enkele minuten) geldig is.
11-08-2022, 11:02 door Anoniem
MFA was blijkbaar aanwezig maar hebben ze toch kunnen omzeilen...
11-08-2022, 11:38 door Quink
Door Anoniem:
Door Quink: Waarom kan dat synchroniseren van bedrijfsgegevens met een privé account (in dit geval Google) niet geblokkeerd worden?
Dat is misschien wel een domme lekenvraag voor een IT specialist, maar dat is het eerste waar ik als computergebruiker met gemiddeld bewustzijn voor IT security aan denk.
Goede vraag en zeker als je geen IT specialist bent, kan ik je verwondering voorstellen. Hier gaat het eigenlijk om twee dingen, namelijk inloggen op de bedrijfsomgeving en het gebruik van een browser. Je kent vast de situatie als je ergens inlogt dat je browser vraagt 'Wilt u het wachtwoord opslaan?'. Als je daarna weer op dezelfde site wil inloggen, wordt het wachtwoord al voor je ingevuld. Dit is een functie van de webbrower, niet van de website.
Deze medewerker gebruikte Chrome en dat biedt de mogelijkheid om in de browser opgeslagen wachtwoorden met je account te synchroniseren. Daarmee krijg je dus als je op één computer je wachtwoord hebt opgeslagen, daarna op elke computer waarmee je wilt inloggen dat vooraf ingevulde wachtwoord. (mits je natuurlijk de Chrome browser onder je account gebruikt).

Deze functie om wachtwoorden te synchroniseren is dus iets van Chrome en Google, daar kan het bedrijf, Cisco in dit geval, weinig aan veranderen.

Wat mij zeer verwonderd is dat zowel de gebruiker als Cisco (!) blijkbaar geen multi factor authenticatie ingeschakeld had. Zeker voor het inloggen op bedrijfssystemen verwacht je anno 2022 het zogenaamde multifactor authenticatie en al helemaal als je een IT bedrijf als Cisco bent. Bij multi factor authenticatie moet je behalve een wachtwoord ook een code invoeren die je via SMS of een authenticatie app krijgt en die maar een beperkte tijd (enkele minuten) geldig is.

Dank voor de moeite van de uitvoerige uitleg. Als ik het goed begrijp zit de mogelijkheid tot illegale exploitatie feitelijk ingebouwd in de browser, in dit geval Chrome, door de mogelijkheid tot opslaan van wachtwoorden en het synchroniseren daarvan in webaccounts, Google in dit geval.

Je zou dat kunnen blokkeren door een verbouwde getweakte browser te verplichten; een onmogelijk opgave lijkt mij als slechts browsergebruiker. Of bestaat toch de mogelijkheid op admin-niveau browserfunctionaliteiten te beïnvloeden?
11-08-2022, 11:54 door Anoniem
Door Anoniem:
Wat mij zeer verwonderd is dat zowel de gebruiker als Cisco (!) blijkbaar geen multi factor authenticatie ingeschakeld had. Zeker voor het inloggen op bedrijfssystemen verwacht je anno 2022 het zogenaamde multifactor authenticatie en al helemaal als je een IT bedrijf als Cisco bent. Bij multi factor authenticatie moet je behalve een wachtwoord ook een code invoeren die je via SMS of een authenticatie app krijgt en die maar een beperkte tijd (enkele minuten) geldig is.

Probeer eens drie paragrafen te lezen van een artikel, in plaats van alleen de titel en de eerste twee.


Nadat de aanvaller erin was geslaagd om de inloggegevens te bemachtigen gebruikte de aanvaller verschillende methodes om de tweefactorauthenticatie van Cisco te omzeilen, waaronder telefonische phishing en “MFA fatigue”, waarbij een doelwit wordt bestookt met pushnotificaties om de inlogpogingen van de aanvaller goed te keuren.

MFA is heel goed maar geen 100% garantie - met nog meer social engineering hier is het dus te omzeilen bij sommige gebruikers.
11-08-2022, 12:37 door tomm
Wat niet helemaal duidelijk is in dit verhaal: Was de gebruiker in de browser ingelogd met zijn/haar prive gmail account vanaf een zakelijk apparaat of vanaf een privé apparaat? (en zijn de zakelijke inloggegevens vanaf een zakelijk of prive apparaat opgeslagen?)

Door Quink:
Je zou dat kunnen blokkeren door een verbouwde getweakte browser te verplichten; een onmogelijk opgave lijkt mij als slechts browsergebruiker. Of bestaat toch de mogelijkheid op admin-niveau browserfunctionaliteiten te beïnvloeden?
Jazeker; je kan beleidsregels (policies) toepassen op de browser. Zoek maar eens naar Chrome ADMX.
1 van de opties is om het inloggen en de synchronisatie functie geforceerd uit te schakelen.
11-08-2022, 13:44 door Anoniem
Cisco had wel degelijk stappen kunnen ondernemen om te voorkomen dat wachtwoorden belanden in een persoonlijk Google account. Bijvoorbeeld door alleen maar verbindingen te accepteren naar hun systemen vanaf apparaten die zij beheren. Daarnaast, als ze het apparaat beheren kunnen ze eisen afdwingen op browsers (Chrome, Edge, Firefox) om te voorkomen dat gegevens belanden in accounts van partijen waar ze niet mee samenwerken.
11-08-2022, 13:57 door Quink
Door tomm: Wat niet helemaal duidelijk is in dit verhaal: Was de gebruiker in de browser ingelogd met zijn/haar prive gmail account vanaf een zakelijk apparaat of vanaf een privé apparaat? (en zijn de zakelijke inloggegevens vanaf een zakelijk of prive apparaat opgeslagen?)

Door Quink:
Je zou dat kunnen blokkeren door een verbouwde getweakte browser te verplichten; een onmogelijk opgave lijkt mij als slechts browsergebruiker. Of bestaat toch de mogelijkheid op admin-niveau browserfunctionaliteiten te beïnvloeden?
Jazeker; je kan beleidsregels (policies) toepassen op de browser. Zoek maar eens naar Chrome ADMX.
1 van de opties is om het inloggen en de synchronisatie functie geforceerd uit te schakelen.

Het is op zijn allerminst dan toch vreemd dat een bedrijf als Cisco dat midden in de IT wereld staat deze mogelijkheden onbenut laat. Met behulp van de tool group policy is het toch geen gigantisch urenvretend karwei om dat te realiseren zou ik als IT leek zeggen, of vergt het toch zoveel werk dat de kosten/baten analyse voor zo'n ingreep negatief uitvalt en men - in het geval van Cisco; vertrouwende op het bewustzijn van hun toch IT opgeleide werknemers - daarvan afziet?
11-08-2022, 17:44 door Anoniem
Door Anoniem: MFA was blijkbaar aanwezig maar hebben ze toch kunnen omzeilen...
Hmmm, dat is interessant. Ik erg benieuwd hoe ze de MFA hebben kunnen omzeilen, want MFA is juist om jezelf te beschermen tegen dit type aanval.
Ik zal eens gaan zoeken op Engelstalige sites om te kijken of er ergens een wat meer uitgebreide beschrijving van deze aanval te vinden is.
11-08-2022, 17:53 door Anoniem
Door Quink:

Dank voor de moeite van de uitvoerige uitleg. Als ik het goed begrijp zit de mogelijkheid tot illegale exploitatie feitelijk ingebouwd in de browser, in dit geval Chrome, door de mogelijkheid tot opslaan van wachtwoorden en het synchroniseren daarvan in webaccounts, Google in dit geval.

Je zou dat kunnen blokkeren door een verbouwde getweakte browser te verplichten; een onmogelijk opgave lijkt mij als slechts browsergebruiker. Of bestaat toch de mogelijkheid op admin-niveau browserfunctionaliteiten te beïnvloeden?

Ik weet niet of je het hier zou moeten zoeken in technische oplossingen zoals getweakte browsers. Mijn ervaring is dat als je heel gericht een technische oplossing uitsluit, gebruikers inventief genoeg zijn om een alternatief handigheidje te bedenken waarbij de alternatieve handigheid vaak nog slechter/gevaarlijker is dan het probleem dat je oplost.

Zo ken ik organisaties die het printen onder Citrix voor thuiswerken blokkeren. Wat doen gebruikers? Die sturen het document naar een gmail adres, openen gmail op een privé computer en printen het document alsnog. De methode van Gmail levert een veel groter risico op informatielekken dan dat de gebruiker gewoon had kunnen printen.

In de Cisco case vind ik twee dingen interessant, te weten:
- Waarom was er geen MFA c.q. hoe heeft men MFA kunnen omzeilen zoals een ander forumlid aangeeft?
- Wat was de rol van de gebruiker en wat doet men aan awareness bij gebruikers
11-08-2022, 18:14 door Anoniem
Door Quink: Het is op zijn allerminst dan toch vreemd dat een bedrijf als Cisco dat midden in de IT wereld staat deze mogelijkheden onbenut laat. Met behulp van de tool group policy is het toch geen gigantisch urenvretend karwei om dat te realiseren zou ik als IT leek zeggen, of vergt het toch zoveel werk dat de kosten/baten analyse voor zo'n ingreep negatief uitvalt en men - in het geval van Cisco; vertrouwende op het bewustzijn van hun toch IT opgeleide werknemers - daarvan afziet?
We weten niet wat voor medewerker het precies was, met hoeveel IT-kennis (bij een groot bedrijf als Cisco werken echt niet alleen maar IT'ers), en of die een eigen laptop/pc voor thuiswerken gebruikte bijvoorbeeld. Tijdens de covid-pandemie is er heel wat van huis uit gewerkt, ongetwijfeld ook bij Cisco. Misschien is het in theorie allemaal perfect te regelen, maar de praktijk wil nog wel eens weerbarstig zijn.
11-08-2022, 19:23 door johanw
Door Quink:
Het is op zijn allerminst dan toch vreemd dat een bedrijf als Cisco dat midden in de IT wereld staat deze mogelijkheden onbenut laat.

Cisco en security - het bedrijf moet om de haverklap lekken in haar eigen producten dichten omdat iemand er weer een hardcoded login / password in gezet heeft.
11-08-2022, 22:59 door W.T. - Bijgewerkt: 11-08-2022, 23:10
Waar maakt men zich druk over, de nederlandse overheid is net zo rot als de ransomware criminelen die Cisco belagen.
Het ultieme horrorvoorbeeld.
Quote het n.o.s. teletekst gegeven:

De autoriteit Persoonsgegevens wil dat hergebruik van persoonsgegevens uit overheidsdata wordt beperkt.
Aanleiding is een voorstel om de Wet Hergebruik Overheidsinformatie aan te passen.

Daarin worden overheidsinstellingen aangemoedigd om overheidsdata , waaronder persoonsgegevens , beschikbaar te stellen voor commercieel gebruik.
Daarvoor is geen toestemming nodig.
Die gegevens moeten online kunnen worden doorzocht en met andere data gecombineerd kunnen worden.

De privacy waakhond zegt dat het risico op misbruik te groot is en wil dat het voorstel wordt aangepast.
Waarvan acte.

De (r)overheid wil dus net als Google persoonlijke data van jou en mij verkopen aan de hoogst biedende.

Er was een tijd dat de overheid werkte voor de nederandse bevolking.
Tegenwoordig is het zo dat de overheid als een zelfstandig instituut werkt, schijt heeft aan de bevolking en vind dat zij persoonlijke data , data van u en mij, mogen verpatsen zonder jou of mij te laten meedelen in de winst.
Tegenwoordig zijn wij, u en ik, verworden tot winstgevend product, net zoals in de concentratiekampen gebeurde met gouden kiezen, de lampenkapjes van menselijke huid e.d.

Jarenlang hoorden wij en lazen wij hoe je de privacy moest beschermen.
Wat gebeurt er nu?
De overheid gedraagt zich als een kwaadaardige hacker om persoonlijke data te verkopen, aldus het voorstel.

WAT EEN GOTSPE !

Gelezen op teletekst van de nos op pagina 111.
https://nos.nl/teletekst#111
12-08-2022, 00:09 door Anoniem
Door Anoniem:
Door Anoniem: MFA was blijkbaar aanwezig maar hebben ze toch kunnen omzeilen...
Hmmm, dat is interessant. Ik erg benieuwd hoe ze de MFA hebben kunnen omzeilen, want MFA is juist om jezelf te beschermen tegen dit type aanval.
Ik zal eens gaan zoeken op Engelstalige sites om te kijken of er ergens een wat meer uitgebreide beschrijving van deze aanval te vinden is.

Uit het artikel
tweefactorauthenticatie van Cisco te omzeilen, waaronder telefonische phishing en “MFA fatigue”

Zegt eigenlijk al genoeg . Als je security nieuws volgt - niet de eerste keer dat MFA omzeild wordt op deze basis.

MFA fatigue is bij die push-notification stijl MFA . Eigenlijk wel begrijpelijk dat iemand die helemaal gek wordt van die pushes dan een keertje op "OK" drukt om dat kreng stil te krijgen .
Het zit bij bijna niemand tussen de oren dat er dan op dat moment een aanval op z'n account gaande is, en men het password (al) weet .

Telefonische phishing zal gebruikt zijn bij MFA waarin de een of andere code uit de MFA token of app gegeven moet worden.
Slachtoffer is dan waarschijnlijk door helpdesk (of 'security audit team' ) gebeld met een lulverhaal dat erop neer kwam dat hij de code uit app of token moest oplezen ter "controle" .
12-08-2022, 09:52 door Anoniem
MFA fatigue is wel een leuk dingetje...
Je stuurt net zo lang berichten naar een gebruiker totdat ie er 'klaar mee is'...
Dit is gebaseerd op de werking van het brein en dus psychologie en dus een manier van social engineering.

Het brein is slim, totdat het uitgeput raakt en valt dan terug naar impuls ipv controle.
De impuls is 'make it go away!'... en dus gaat met op OK drukken of ALLOW, om er maar vanaf te zijn.

Erg rudimentair maar het werkt wel dus.
14-08-2022, 00:08 door Anoniem
Steeds meer psychologische werkwijzen. Kevin Mitnik's werkwijze is beproefd. Ook niet functionerende apps, die kwaadaardig zijn, maar als werkend gedownload worden in de huidige cyberwar. Firma's list en bedrog,.troll-fabrieken, deep-fake en noem maar op. Realiteit vreemder dan hoe het te verzinnen valt.
#observator
14-08-2022, 17:51 door Erik van Straten
Door Anoniem: MFA was blijkbaar aanwezig maar hebben ze toch kunnen omzeilen...
De volgende zin in https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html viel mij op (opmaak door mij):
For Duo it is beneficial to implement strong device verification by enforcing stricter controls around device status to limit or block enrollment and access from unmanaged or unknown devices.
Kennelijk is het de aanvaller gelukt om zelf MFA-secrets "uit te kunnen delen". Google: Duo enrollment

"Vroeger" was het een goed gebruik om systemen waar je privileges-verschaffende "dingen" mee genereert en uitdeelt (waaronder sleutelparen, digitale certificaten, MFA-secrets en key-fobs, en digitale handtekeningen zet) gescheiden van je netwerken te houden, maar tegenwoordig moet alles "online" en remote benaderbaar zijn. Die aanpak van vroeger had absoluut nadelen, maar kende ook voordelen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.