Cisco a découvert fin mai dernier avoir été victime d’une cyberattaque. L’entreprise américaine spécialiste de l’informatique et des réseaux a détaillé ces informations dans un post de blog le 10 août 2022, après que le hacker a divulgué une liste de fichiers volés sur le dark web. “Nous n’avons identifié aucune preuve suggérant que l’attaquant ait eu accès à des systèmes internes critiques, tels que ceux liés au développement de produits, à la signature de code, etc.”tente de rassurer Cisco.
piratage d’un compte google et appel téléphonique
Cisco explique que les informations d’identification d’un employé ont été compromises après qu’un attaquant a pris le contrôle d’un compte Google personnel où les informations d’identification enregistrées dans le navigateur de la victime étaient synchronisées. Puis, l’attaquant a mené une série d’attaques de phishing vocal : se faisant passer pour diverses organisations de confiance, il a tenté de convaincre l’employé d’accepter les notifications push d’authentification multi-facteurs (MFA) initiées par l’attaquant. Une fois reçu, il a pu accéder au VPN de la personne ciblée.
Le cybercriminel a ensuite mené des actions pour maintenir son accès, voire augmenter son niveau d’accès à l’environnement. Cisco explique qu’il a retiré son accès, mais que l’attaquant a continué à essayer de se connecter sans succès.
Un lien avec Lapsus$ ?
Cisco semble avoir identifié l’attaquant comme étant un intermédiaire – un courtier d’accès initial (IAB) – en lien avec les groupes cybercriminels UNC2447, Lapsus$ ainsi que Yanluowang. Les IAB tentent d’obtenir un accès privilégié aux réseaux informatiques d’entreprise, puis le vendent à d’autres hackers.
UNC2447 est un groupe avec des motivations financières qui a ciblé des entreprises en Europe et en Amérique du Nord à l’aide de ransomwares. Le groupe Yanluowang utilise des rançongiciels contre les entreprises américaines depuis août 2021, ajoute Bloomberg. Enfin, le groupe Lapsus$ a été mis en avant à l’occasion d’attaques très médiatisées contre Okta, Microsoft, Nvidia et Samsung. La police britannique a arrêté en mars dernier des membres présumés du groupe Lapsus$.
