Lapsus$ sloeg eind mei toe bij Cisco

Cisco is eind mei getroffen door een cyberaanval. De inloggegevens van een Cisco-werknemer zijn gestolen nadat een aanvaller toegang wist te krijgen tot het persoonlijke Google-account van de werknemer. Via dit account kreeg de aanvaller toegang tot inloggegevens die in de webbrowser van de medewerker waren opgeslagen. De aanval lijkt het werk te zijn van de aanvalsgroep Lapsus$.

Het Amerikaanse bedrijf meldt dat de aanvaller een reeks complexe phishingaanvallen heeft uitgevoerd via spraakgesprekken, waarbij hij zich voordeed als diverse vertrouwde organisaties. Zo wist de aanvaller het vertrouwen van het slachtoffer te winnen en deze te overtuigen pushnotificaties voor multi-factor authentificatie die werden geïnitieerd door de aanvaller te accepteren.

Toegang tot VPN

Via deze weg wist de aanvaller toegang te verkrijgen tot een VPN. Eenmaal binnen voerde de aanvaller een aantal activiteiten uit om zijn toegang tot de VPN zeker te stellen, zijn sporen te minimaliseren en meer rechten te verkrijgen tot systemen binnen de omgeving. Cisco meldt de aanvaller succesvol van het netwerk te hebben verwijderd, waarna deze meermaals probeerde opnieuw toegang te verkrijgen. Deze pogingen zijn echter niet succesvol geweest.

Cisco Security Incident Response (CSIRT) en Cisco Talos schrijven de aanval toe aan Lapsus$. Dit is een groep cyberaanvallers die eerder onder meer T-Mobile US, fabrikant van authentificatiesoftware Okta, Microsoft, Samsung en Nvidia aanviel. Cisco meldt geen bewijs te hebben dat de aanvaller toegang heeft weten te krijgen tot kritieke interne systemen van het bedrijf. Denk hierbij aan systemen gerelateerd aan productontwikkeling en het ondertekenen van code.

Meer informatie is hier beschikbaar.