Cisco hat einen Sicherheitsvorfall bestätigt, bei dem möglicherweise das Netzwerk des Unternehmens kompromittiert wurde. Den unbekannten Tätern gelang es demnach die Anmeldedaten eines Mitarbeiters zu stehlen und auch die Mehrfaktor-Authentifizierung zu umgehen. Mit den Anmeldedaten erhielten die Hacker schließlich einen VPN-Zugang.

Den Einbruch entdeckte Cisco am 24. Mai. Nach Angaben des Unternehmens sind seitdem das hauseigene Security Incident Response Team sowie Cisco Talos mit der Abwehr und Analyse des Angriffs beschäftigt.

Dabei fand Cisco heraus, dass die Angreifer zuerst das persönliche Google-Konto des Mitarbeiters knackten und dann auf die in dessen Browser hinterlegten Zugangsdaten für das Unternehmens-VPN zugriffen.

Attacke bleibt ohne Auswirkungen auf Ciscos Geschäft

Laut Cisco war der Zugang jedoch durch eine Mehrfaktor-Authentifizierung geschützt. Per Voice Phishing erreichten die Cyberkriminellen jedoch, dass das Opfer vom Angreifer ausgelöste Push-Benachrichtigungen akzeptierte, was ihnen letztlich den Zugang zum Unternehmensnetzwerk ermöglichte.

Den Zugang nutzten die Angreifer, um ihre Spuren zu verwischen und sich höhere Rechte als die den von ihnen gehackten Mitarbeiters zu verschaffen. Allerdings konnten die Angreifer laut Cisco erfolgreich aus dem Netzwerk verbannt werden. Nachfolgende Versuche, erneut in das Netzwerk einzudringen, seien erfolgreich unterbunden worden.

Cisco geht davon aus, dass es sich bei dem Angreifer um einen sogenannten Initial Access Broker handelt, der Zugänge zu Unternehmensnetzwerken herstellt und anschließend an andere Cyberkriminelle verkauft. Der fragliche Broker soll Verbindungen zu einer Cybercrime-Gang namens UNC2447, der Hackgruppe Lapsus$ und den Hintermännern der Ransomware Yanluowang unterhalten.

“Cisco konnte keine Auswirkungen dieses Vorfalls auf sein Geschäft feststellen, auch keine Auswirkungen auf Cisco-Produkte oder -Dienste, sensible Kundendaten oder sensible Mitarbeiterinformationen, geistiges Eigentum von Cisco oder die Lieferkette”, teilte das Unternehmen mit. “Am 10. August veröffentlichten die Angreifer eine Liste von Dateien aus diesem Sicherheitsvorfall im Dark Web.”

Wie BleepingComputer berichtet, bekannte sich die Yanluowang-Gruppe zu dem Einbruch. Sie behauptet demnach 2,75 GByte Daten verteilt auf rund 3100 Dateien entwendet zu haben. Dabei soll es sich überwiegend um Verschwiegenheitsvereinbarungen und technische Zeichnungen handeln. Laut Cisco Talos wurden jedoch keine Dateien im Cisco-Netzwerk verschlüsselt.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Braucht der Mittelstand eine Sovereign Cloud?

"In der Regel nicht", sagt Oliver Queck von Skaylink im Interview.

5 Tagen ago

Lockbit wirklich endgültig zerschlagen?

Trotz des großen Erfolgs der Operation "Cronos" warnen Security-Experten vor zu frühen Feiern.

6 Tagen ago

Umfrage: In diesen Branchen soll KI den Personalmangel lindern

Eine Mehrheit der Deutschen spricht sich für mehr KI in der Industrie und im Transportwesen…

6 Tagen ago

Kaspersky: Jeder Fünfte von digitalem Stalking betroffen

42% der Nutzer:innen berichten von Gewalt oder Missbrauch durch eigenen Partner. 17% wurden bereits ohne…

6 Tagen ago

Handwerker-Recruiting 2.0

Warum ChatGPT bei der Mitarbeitergewinnung den Unterschied machen kann, verrät Julian Jehn von Jehn &…

1 Woche ago

NIS 2: “Zeitlich wird es knackig”

Es stellt sich nicht die Frage, ob Unternehmen NIS 2 noch schaffen, sondern eher wie,…

1 Woche ago