Cisco heeft onlangs bevestigd dat het meldingen van een groot datalek onderzoekt. De claims kwamen naar boven nadat een bekende hackergroep, IntelBroker, beweerde dat ze ongeautoriseerde toegang hadden verkregen tot de systemen van Cisco. In een bericht op een cybercriminaliteitsforum geeft IntelBroker aan dat ze op 10 juni 2024 een inbreuk op Cisco hebben gepleegd en een aanzienlijke hoeveelheid gegevens hebben gestolen, waaronder naar verluidt de broncode, interne Cisco-documenten en vertrouwelijke klantgegevens.
Wie zit er achter het datalek bij Cisco?
Een woordvoerder van Cisco deelde een verklaring met BleepingComputerzeggende: “Cisco is op de hoogte van berichten dat een actor beweert toegang te hebben gekregen tot bepaalde Cisco-gerelateerde bestanden. We zijn een onderzoek gestart om deze claim te beoordelen en ons onderzoek is nog gaande.” Deze openbare verklaring benadrukt de voorzichtige aanpak van Cisco en bevestigt tegelijkertijd dat er inderdaad een onderzoek gaande is. De woordvoerder maakte echter geen specifieke details bekend over de aard of omvang van de vermeende inbreuk.
IntelBroker beweerde dat ze samenwerkten met twee andere personen, geïdentificeerd als EnergyWeaponUser en “zjj”, om toegang te krijgen tot de systemen van Cisco. De gecompromitteerde gegevens omvatten projecten van GitHub, GitLab en SonarQube, samen met hardgecodeerde inloggegevens, SSL-certificaten, AWS- en Azure-opslagbuckets, API-tokens en nog veel meer. De bedreigingsacteur plaatste ook voorbeelden van de gestolen gegevens, waaronder screenshots van verschillende klantbeheerportals, een database en interne Cisco-documentatie.
De gegevens zouden zijn gestolen van een externe leverancier van beheerde services die betrokken is bij de softwareontwikkeling en DevOps-services van Cisco. Bronnen geven aan dat dezelfde leverancier te maken heeft gehad met inbreuken waarbij andere grote bedrijven betrokken waren, waaronder T-Mobile en Apple. Het blijft echter onduidelijk of deze externe provider ook de oorzaak was van de recente problemen van Cisco.
Welke gegevens zouden zijn gecompromitteerd?
Het bericht van IntelBroker schetst een breed scala aan informatie die zogenaamd is gestolen. Volgens de dreigingsactor omvatten de gecompromitteerde gegevens ontwikkelingsprojecten die worden gehost op platforms als GitHub, GitLab en SonarQube, die cruciaal zijn voor de softwareontwikkelingsprocessen van Cisco. Bovendien beweren de hackers hardgecodeerde inloggegevens te hebben verkregen die in de broncode zijn ingebed, wat mogelijk ongeautoriseerde toegang tot andere delen van Cisco’s systemen zou kunnen verschaffen. Beveiligingscertificaten, waaronder SSL-certificaten en zowel publieke als private encryptiesleutels, zouden naar verluidt ook zijn aangetast, wat een ernstig risico vormde voor de beveiligde communicatie binnen het netwerk van Cisco.
De gestolen gegevens omvatten ook interne documenten met het label ‘Cisco Confidential’, die mogelijk gevoelige operationele informatie bevatten. Bovendien beweren de hackers toegang te hebben gekregen tot API-tokens en cloudopslaggegevens, waaronder AWS-privébuckets en Azure-opslagbuckets. Deze activa kunnen worden misbruikt om ongeautoriseerde toegang te krijgen tot cruciale systemen. Andere gevoelige items die worden vermeld zijn Docker-builds, Jira-tickets en details met betrekking tot de premiumproducten van Cisco.
Mogelijk getroffen bedrijven
IntelBroker beweert dat tal van spraakmakende bedrijven door de inbreuk zouden kunnen worden getroffen. De vermeende slachtoffers strekken zich uit over meerdere sectoren, waaronder telecommunicatie, financiën en technologie, waardoor zorgen ontstaan over de mogelijke blootstelling van kritieke activa. Telecommunicatiebedrijven als Verizon, AT&T (in zowel de VS als Mexico), British Telecom, Vodafone (in Albanië en Australië) en T-Mobile (in de VS en Polen) zijn genoemd onder de potentiële slachtoffers. In de financiële sector zijn naar verluidt grote entiteiten zoals Bank of America, Barclays en National Australian Bank getroffen. Bovendien worden technologie- en gezondheidsorganisaties, waaronder Microsoft, Liberty Global en Dignity Health, ook vermeld als slachtoffers van de vermeende inbreuk.
Hoewel deze beweringen nog moeten worden geverifieerd, heeft de betrokkenheid van dergelijke spraakmakende organisaties tot aanzienlijke bezorgdheid geleid. De omvang van mogelijk gecompromitteerde gegevens brengt ernstige risico’s met zich mee, niet alleen voor Cisco, maar ook voor de getroffen bedrijven en hun klanten.
IntelBroker heeft de gestolen gegevens te koop aangeboden op een bekend hackforum. Volgens hun bericht kunnen de gegevens worden gekocht met behulp van Monero (XMR), een cryptocurrency die populair is vanwege zijn privacyfuncties. De hacker heeft ook aangegeven bereid te zijn een tussenpersoon in te schakelen voor de transactie, wat een gangbare praktijk is onder cybercriminelen die de anonimiteit tijdens het verkoopproces willen garanderen. Door een cryptocurrency zoals Monero te gebruiken en aan te bieden een tussenpersoon in te schakelen, probeert IntelBroker het voor wetshandhavers moeilijk te maken om zowel de verkoper als de potentiële koper te volgen.
De gegevens die naar verluidt te koop worden aangeboden, bevatten gevoelige informatie, zoals certificaten, API-tokens en inloggegevens die kunnen worden gebruikt om toegang te krijgen tot de systemen van Cisco of die van zijn klanten. De tactieken van de hackergroep volgen een bredere trend waarbij cybercriminelen vaak geld verdienen met gestolen gegevens via ondergrondse fora, en deze soms zelfs verkopen aan concurrerende bedrijven of natiestaten.
Gevolgen van het datalek bij Cisco
De gevolgen van een bevestigd datalek voor Cisco kunnen aanzienlijk zijn, zowel in termen van financiële verliezen als reputatieschade. Datalekken resulteren vaak in negatieve publiciteit, verminderd klantvertrouwen en een daling van de marktwaarde van het bedrijf, wat allemaal potentieel van invloed zou kunnen zijn op de bedrijfsresultaten van Cisco. De aandelen van Cisco Systems daalden zelfs licht nadat het nieuws over de vermeende inbreuk openbaar werd gemaakt. HackManac plaatste details over de inbreuk op het sociale platform X (voorheen Twitter), waardoor de aandelen tijdens de middaghandel met $ 0,30 naar $ 53,95 daalden.
🚨Waarschuwing voor gegevensinbreuk ‼️
IntelBroker beweert, in samenwerking met EnergyWeaponUser en zjj, gegevens te verkopen van een recente Cisco-inbreuk.
De gecompromitteerde gegevens omvatten naar verluidt GitHub- en GitLab-projecten, SonarQube-projecten, broncode, hardgecodeerde inloggegevens, certificaten, … pic.twitter.com/b3ZHbLs773
— HackManac (@H4ckManac) 14 oktober 2024
Deze daling kan een weerspiegeling zijn van de onzekerheid bij investeerders, vooral in het licht van de uitgebreide claims van IntelBroker. Op het moment van schrijven, aldus Handelsweergave Volgens gegevens bedraagt de aandelenkoers van Cisco $54,16, wat enige stabilisatie na het incident laat zien.
Cisco’s reactie tot nu toe
De reactie van Cisco is gemeten en levert beperkte informatie op, terwijl wordt bevestigd dat zij de claims actief onderzoeken. Deze aanpak zou erop kunnen wijzen dat het bedrijf nog steeds bezig is om de volledige omvang van een eventuele inbreuk vast te stellen. Gezien de betrokkenheid van vooraanstaande zakelijke klanten en de aard van de gestolen gegevens, is het waarschijnlijk dat Cisco onder aanzienlijke druk zal staan om een alomvattende publieke verklaring af te leggen zodra het onderzoek is afgerond.
Hackread.com heeft ook gemeld dat het contact heeft opgenomen met Cisco voor commentaar, maar nog geen reactie heeft ontvangen. Als de beweringen worden bevestigd, zal Cisco’s public relations-strategie waarschijnlijk niet alleen de omvang van de aanval moeten aanpakken, maar ook details moeten verstrekken over hoe zij potentiële toekomstige risico’s willen beperken.
IntelBroker: een geschiedenis van datalekken
IntelBroker heeft een staat van dienst op het gebied van het uitvoeren van spraakmakende datalekken. Eerder dit jaar eiste de hackergroep de verantwoordelijkheid op voor het overtreden van verschillende grote bedrijven, waaronder T-Mobile, HPEEn AMD. Tijdens de aanval op Apple in juni 2024 beweerde IntelBroker de broncode te hebben gestolen met betrekking tot de interne tools van het bedrijf, terwijl ze in het geval van AMD toegang zouden hebben verkregen tot gevoelige werknemers- en productinformatie.
De toenemende bekendheid van IntelBroker in de cybercriminaliteitsgemeenschap maakt hun recente claim tegen Cisco bijzonder zorgwekkend. Hoewel het nog te bezien is of alle details kloppen, verlenen de eerdere successen van de hackergroep een zekere mate van geloofwaardigheid aan de huidige beschuldigingen. Wetshandhavingsinstanties en getroffen bedrijven houden de activiteiten van IntelBroker waarschijnlijk nauwlettend in de gaten, omdat ze proberen te begrijpen hoe deze inbreuken hebben plaatsgevonden en wat er kan worden gedaan om dergelijke risico’s in de toekomst te beperken.
Uitgelichte afbeeldingscredits: Cisco
