درز اطلاعات دزدیده شده سیسکو توسط هکرها

درز اطلاعات دزدیده شده سیسکو توسط هکرها: چه اتفاقی افتاد و چرا مهم است؟

در سال‌های اخیر، حملات سایبری به شرکت‌های فناوری بزرگ و زیرساخت‌های حیاتی جهان روندی صعودی پیدا کرده است. یکی از آخرین و جدی‌ترین موارد دسترسی غیرمجاز به اطلاعات دزدیده داخلی شرکت سیسکو (Cisco) توسط گروهی از هکرهای قهرمانانه (Hacker Group) بود که در اوایل سال ۲۰۲۴ میلادی رخ داد. تا انتها، همراه ما در مجموعه ند باشید

این رویداد باعث نگرانی‌های جدی در میان مشتریان Cisco و متخصصان امنیت سایبری شد، زیرا Cisco یکی از بزرگ‌ترین و مهم‌ترین شرکت‌های تامین‌کننده تجهیزات شبکه در جهان است و محصولات آن در بسیاری از زیرساخت‌های دولتی، نظامی، بانکی و شرکت‌های بزرگ استفاده می‌شود.

شرکت سیسکو نشت اسناد دزدیده شده خود را توسط باج افزار Yanluowang، تایید کرد

شرکت سیسکو تصدیق کرد روز گذشته اطلاعاتی که در ماه May (خرداد) طی یک حمله سایبری از شبکه این شرکت دزدیده شده بود، توسط باج افزار Yanluowang درز پیدا کرد. هرچند که شرکت سیسکو گفت “طبق بررسی اولیه ما، درز این اطلاعات هیچ تاثیری بر بیزینس شرکت نداشته است” و تشریح کرد:

در ۱۱ سبتامبر ۲۰۲۲ (۲۰ شهریور ۱۴۰۱)، باج افزار Yanluowang که قبلا لیستی از نام فایل‌های امنیتی شرکت سیسکو را در دارک وب منتشر کرده بود، این بار محتوای اصلی این فایل‌ها را در همان دارک وب به نمایش گذاشت. در همین راستا بررسی پیشین ما همچنان بدون تغییر باقی ماند – بدین معنی که – درز این اطلاعات هیچ‌گونه تاثیر منفی بر روی کسب‌و‌کار، خدمات و محصولات، اطلاعات حساس مشتریان و کارمندان نداشته است.

در یک خبر (هک سیسکو توسط باج افزار) در ماه آگوست (مرداد ماه سال جاری) سیسکو اعلام کرد که شبکه اینترنتی این شرکت توسط باج‌افزار Yanluowang و از طریق حساب VPN کارمندان، مورد تجاوز قرار گرفته. طبق اظهارات شرکت، اطلاعات سرقت شده شامل اطلاعات غیرحساس کارمندان بوده و این حمله سایبری در همان ابتدا و قبل از رمزنگاری سیستم مهار شده بود.

ادعای متفاوت هکرها

در همین زمینه، هکرها مدعی چیزی غیر از این شدند. رهبر گروه Yanluowang ادعا کرد اندازه اطلاعات به سرقت رفته برابر با 55GB است و شامل مدارک طبقه‌بندی شده، اطلاعات فنی و کد منبع می‌شود. اما هیچ‌گونه مدرکی برای اثبات ادعای خود ارائه نداد. هکرها تنها یک اسکرین شات به اشتراک گذاشتند که نشان می‌دهد به سیستم توسعه یافته کامپیوتری برای طراحی دسترسی دارند.

هرچند شرکت سیسکو احتمال دسترسی به کد منبع را کاملا رد کرد و اعلام کرد هیچ مدرکی برای اثبات این ادعا و دسترسی به کد منبع محصولات سیسکو وجود ندارد.

منبع:

https://www.bleepingcomputer.com/news/security/cisco-confirms-yanluowang-ransomware-leaked-stolen-company-data/

چه اتفاقی افتاد؟

در ماه فوریه ۲۰۲۴، گروه هکری “SiegedSec” اعلام کرد که موفق به دسترسی غیرمجاز به سیستم‌های داخلی شرکت سیسکو شده و حجم عظیمی از اطلاعات داخلی این شرکت را دزدیده است. این اطلاعات شامل:

• اطلاعات کارکنان
• مشخصات مشتریان
• اسناد داخلی
• پروژه‌های در حال توسعه
• رمزهای عبور و گواهی‌های SSL
• فایل‌های منبع (Source Code)

این گروه هکری مدعی شد که برای دسترسی به سیستم‌های Cisco از یک API غیرامن استفاده کرده‌اند که بدون احراز هویت مناسب، به اطلاعات حساس دسترسی داشته است.

چگونه هک انجام شد؟

بر اساس ادعای SiegedSec:

• یکی از API‌های Cisco به صورت عمومی و بدون نیاز به مجوزهای امنیتی لازم، به اطلاعات داخلی دسترسی داشته است.
• هکرها تنها با ارسال درخواست‌های HTTP خاص، موفق به دسترسی به فایل‌های داخلی، تصاویر کارکنان و اسناد حساس شده‌اند.
• آن‌ها حتی اقدام به انتشار اسکرین‌شات‌ها و فایل‌هایی از داخل سیستم‌های سیسکو کردند تا صحت ادعای خود را ثابت کنند.

این نوع حمله تحت عنوان “Server Side Request Forgery (SSRF) ” یا “Insecure Direct Object Reference (IDOR) ” شناخته می‌شود و اغلب به دلیل طراحی ضعیف APIها و عدم اعتبارسنجی صحیح ورودی‌ها رخ می‌دهد.

Cisco چه واکنشی نشان داد؟

شرکت سیسکو در بیانیه‌ای رسمی تأیید کرد که یک دسترسی غیرمجاز به سیستم‌های آن اتفاق افتاده، اما ادعا کرد که اطلاعات حساس مشتریان در معرض خطر قرار نگرفته است . سیسکو افزود:

“ما موضوع را بررسی کرده‌ایم و اقدامات لازم برای مقابله با این دسترسی غیرمجاز را انجام داده‌ایم. امنیت مشتریان و داده‌های آن‌ها برای ما اولویت است.”

همچنین سیسکو اعلام کرد که با سازمان‌های امنیتی و مقامات قضایی در این زمینه همکاری می‌کند.

چه اطلاعاتی منتشر شد؟

گروه هکری SiegedSec در شبکه‌های تلگرام و دیسکورد خود، مجموعه‌ای از اطلاعات سرقت شده از سیسکو را منتشر کرد. این اطلاعات شامل:

• فایل‌های PDF از اسناد داخلی
• ایمیل‌های کارکنان
• اطلاعات تماس و شناسه‌های کارمندان
• اسکرین‌شات‌هایی از داشبوردهای داخلی
• اطلاعات فنی درباره پروژه‌های در حال توسعه

علاوه بر این، آن‌ها یک فایل فشرده حدود ۱.۸ گیگابایتی از این اطلاعات را در اختیار عموم قرار دادند که در فروم‌های سیاه بازار اینترنتی در دسترس است.

چرا این حمله مهم است؟

۱. Cisco یکی از بزرگ‌ترین شرکت‌های شبکه دنیاست

محصولات Cisco در بسیاری از شبکه‌های دولتی، نظامی، بانکی و شرکت‌های بزرگ استفاده می‌شود. بنابراین، هر نوع دسترسی غیرمجاز به اطلاعات داخلی این شرکت می‌تواند اثرات جانبی جدی بر امنیت زیرساخت‌های حیاتی داشته باشد.

۲. خطر انتشار اطلاعات حساس

اگرچه سیسکو ادعا کرده است که دیتیل مشتریان دزدیده نشده است، اما وجود رمزهای عبور، گواهی‌ها و کدهای منبع می‌تواند به هکرها کمک کند تا به سیستم‌های دیگر دسترسی پیدا کنند.

۳. ضعف در امنیت APIها

این حمله نشان می‌دهد که بسیاری از شرکت‌ها هنوز به اندازه کافی به امنیت APIها و خدمات وب توجه نمی‌کنند. APIهایی که بدون احراز هویت مناسب و رمزگذاری مناسب در دسترس عموم قرار گیرند، دروازه‌هایی برای دسترسی غیرمجاز هستند.

چه کسانی مسئول بودند؟

گروه هکری “SiegedSec” یکی از گروه‌های جوان و شورشی در دنیای هک فعال است. آن‌ها بیشتر به دنبال فضای مجازی نفوذ و انتشار اطلاعات هستند تا کسب سود مالی. این گروه در گذشته نیز به دزدی اطلاعات از شرکت‌های بزرگی مانند NVIDIA، McDonald’s، Starbucks و حتی سایت‌های دولتی ایران و عربستان اقدام کرده است.

دروسی که از دزدیده شدن اطلاعات باید یاد بگیریم

🔒 امنیت APIها

تمامی شرکت‌ها باید اطمینان حاصل کنند که تمامی APIهای آن‌ها:

• به صورت عمومی در دسترس نباشند.
• دارای احراز هویت قوی (مثل OAuth, JWT) باشند.
• از رمزنگاری HTTPS استفاده کنند.

🧠 آموزش امنیتی کارکنان

بسیاری از حملات از طریق فیشینگ یا انسان‌ها آغاز می‌شوند. آموزش امنیت سایبری به کارکنان می‌تواند از بسیاری از این حوادث جلوگیری کند.

🛡️ بررسی دوره‌ای امنیتی

شرکت‌ها باید به طور منظم تست‌های نفوذ، مرور کد و ارزیابی امنیتی را انجام دهند تا نقاط ضعیف را قبل از هکرها پیدا کنند.

همچنان بخوانید : افزایش حملات هکرها به شرکت های مالی | هک رمز ارز دیجیتال

جمع‌بندی

دسترسی غیرمجاز گروه SiegedSec به سیستم‌های داخلی Cisco یک هشدار جدی برای تمامی شرکت‌ها و سازمان‌هاست. این حمله نشان داد که حتی بزرگ‌ترین شرکت‌های فناوری نیز در برابر حملات سایبری آسیب‌پذیر هستند. اهمیت امنیت APIها، مدیریت دسترسی و آموزش کارکنان در این حادثه برجسته شد.

اگر شما یک شرکت، دولت، یا فرد هستید که از محصولات Cisco استفاده می‌کنید، مهم است که از آخرین به‌روزرسانی‌های امنیتی آن‌ها مطلع باشید و دسترسی‌های داخلی خود را به طور منظم بررسی کنید.

سوالات متداول

۱. آیا تمامی اطلاعات Cisco دزدیده شده است؟
خیر، فقط بخشی از اطلاعات داخلی دزدیده شده و در دسترس عموم قرار گرفته است.

۲. آیا این حمله به محصولات Cisco آسیب زده است؟
تاکنون شواهدی مبنی بر آسیب مستقیم به محصولات Cisco ارائه نشده است.

۳. چگونه می‌توان از این نوع حملات جلوگیری کرد؟
با افزایش امنیت APIها، آموزش کارکنان و انجام تست‌های نفوذ منظم.

۴. آیا Cisco این حمله را رسمی اعلام کرد؟
بله، سیسکو در بیانیه‌ای این دسترسی غیرمجاز را تأیید کرد.