هک سیسکو توسط باج افزار

کالبدشکافی هک سیسکو: چگونه سیسکو، غول امنیت شبکه، هدف باج‌افزار قرار گرفت؟

وقتی نام “سیسکو” به میان می‌آید، ذهن‌ها به سمت امنیت، شبکه و زیرساخت‌های قدرتمند اینترنتی می‌رود. این شرکت نه تنها ستون فقرات بخش بزرگی از ترافیک وب جهانی را می‌سازد، بلکه خود یکی از پیشروان اصلی در ارائه راه‌حل‌های امنیتی است. اما تاریخ امنیت سایبری به ما آموخته است که هیچ‌کس، حتی بزرگترین‌ها، رویین‌تن نیست.

در آگوست ۲۰۲۲، خبری دنیای فناوری را شوکه کرد: سیسکو هدف یک حمله سایبری پیچیده قرار گرفته بود. هک سیسکو که ماه‌ها قبل در سکوت آغاز شده بود، توسط گروه باج‌افزاری “یانلووانگ” (Yanluowang) رهبری می‌شد. این صرفاً یک حمله ساده نبود؛ بلکه نمایشی از تکنیک‌های نوین و ترکیبی بود که نشان می‌داد چگونه ضعیف‌ترین حلقه در زنجیره امنیت، یعنی انسان، می‌تواند قدرتمندترین دیوارها را فرو بریزد.

در این مقاله از تیم نُدشاپ، به صورت گسترده و عمیق، تمام زوایای هک سیسکو را بررسی می‌کنیم؛ از نقطه آغازین نفوذ گرفته تا تکنیک‌های استفاده‌شده، پاسخ تیم امنیتی سیسکو و درس‌های حیاتی که این رویداد برای همه ما به همراه داشت.

هک ۲.8GB از اطلاعات شرکت سیسکو

یک گروه باج افزار مدعی شده ۲.8GB از اطلاعات سیسکو را در اختیار گرفته است. در همین راستا، شرکت سیسکو هک شدن برخی از اطلاعات خود را توسط یک گروه باج افزار تایید کرده است. گروه باج افزار Yanluowang پاره‌ای از فایل‌ها و اطلاعات را منتشر کرد و گفت همه این اطلاعات از شرکت سیسکو دزدیده شده است. همچنین گروه Talos Intelligence سیسکو نیز اعتراف کرد که اطلاعات این شرکت هک شده است.

پشت پرده هک سیسکو

شرکت سیسکو اعلام کرد دسترسی اولیه از طریق فیشینگ حساب شخصی گوگل یکی از کارمندان سیسکو انجام و در نهایت منجر به دسترسی به VPN سیسکو شد.

عامل تهدید کننده نیز تایید کرد، به عنوان یک واسطه دسترسی اولیه (initial access broker) – که وابسته به گروه روسی UNC2447 و باج افزار Yanluowang است – علیرغم تلاش های زیاد، از شبکه سیسکو بیرون رانده و از ورود مجدد آن به شبکه نیز جلوگیری شد. تکنیک‌ها و روال این عمل مجرمانه نشان می‌دهد، اشتراکاتی با گروه Lapsus$ وجود داشته که بسیاری از آنان در اوایل سال بازداشت شده‌اند.

دیدگاه تحلیل‌گر هوش تهدید سیسکو (threat intelligence) در رابطه با هک سیسکو

طبق تحلیل اطلاعات فاش شده، شرکت سیسکو اعلام کرد این اتفاق توسط گروه Yanluowang اغراق و بزرگنمایی شده و هیچکدام از اطلاعات استخراج شده از حساسیت و اهمیت زیادی برخوردار نبوده‌اند – هرچند به خطر انداختن شبکه کامپیوتری یک شرکت برای مجرمان سایبری کافیست تا به شهرت و اعتبار برسند -.

شرکت سیسکو می‌افزاید؛ در نتیجه این حمله هیچگونه اثر منفی بر روی بیزینس، محصولات، خدمات و اطلاعات کارمندان و مشتریان شرکت مشاهده نشده و در دهم آگوست تنها فهرستی از فایل‌ها بر روی وب سایت سیاه (dark web) منتشر شد. در نهایت پس از این اتفاق پسورد شرکت بازنشانی شد و در اختیار شرکت قرار گرفت.

منبع:

https://www.forbes.com/sites/daveywinder/2022/08/13/cisco-hacked-ransomware-gang-claims-it-has-28gb-of-data/?sh=7ec375a74043

بخش اول: عاملان هک سیسکو؛ آشنایی با گروه باج‌افزاری یانلووانگ (Yanluowang)

برای درک عمق این حمله، ابتدا باید با مهاجمان آشنا شویم. گروه باج‌افزاری Yanluowang، که نام خود را از یک خدای مرگ در اساطیر چینی گرفته، یک گروه نسبتاً جدید اما بسیار خطرناک است. این گروه به دلیل استفاده از ابزارهای سفارشی و تکنیک‌های ترکیبی شهرت دارد.

تحقیقات تیم امنیتی سیسکو تالوس (Cisco Talos) نشان داد که این گروه احتمالاً با گروه‌های تهدید دیگری مانند UNC2447 و حتی گروه بدنام Lapsus$ ارتباطاتی داشته است. این ارتباطات نشان‌دهنده یک اکوسیستم پیچیده از مجرمان سایبری است که ابزارها، تکنیک‌ها و حتی دسترسی‌های خود را با یکدیگر به اشتراک می‌گذارند. هدف اصلی آن‌ها صرفاً قفل کردن فایل‌ها نیست، بلکه سرقت داده‌ها و اخاذی (Double Extortion) است؛ یعنی تهدید به انتشار عمومی اطلاعات سرقت‌شده در صورت عدم پرداخت باج.

بخش دوم: زنجیره هک سیسکو؛ تشریح قدم به قدم نفوذ به دژ سیسکو

هک سیسکو یک فرآیند چندمرحله‌ای و بسیار هوشمندانه بود که ضعف‌های انسانی و فنی را به طور همزمان هدف قرار داد.

قدم ۱: نقطه آغازین نفوذ – سرقت از یک حساب کاربری شخصی

برخلاف تصور اولیه که ممکن است یک آسیب‌پذیری پیچیده در محصولات سیسکو دلیل نفوذ بوده باشد، نقطه شروع بسیار ساده‌تر و نگران‌کننده‌تر بود. مهاجمان با هک کردن حساب کاربری شخصی گوگل (Google Account) یکی از کارمندان سیسکو، کار خود را آغاز کردند.

این کارمند، رمزهای عبور کاری خود را از طریق قابلیت همگام‌سازی مرورگر گوگل کروم (Chrome Sync) در حساب شخصی خود ذخیره کرده بود. با به دست آوردن دسترسی به این حساب، مهاجمان به سادگی به نام کاربری و رمز عبور VPN سیسکو دست پیدا کردند.

قدم ۲: دور زدن احراز هویت چندعاملی (MFA) با تکنیک “خستگی”

در دنیای امروز، داشتن رمز عبور به تنهایی کافی نیست. سیسکو نیز از سیستم احراز هویت چندعاملی (MFA) برای محافظت از دسترسی‌های VPN خود استفاده می‌کرد. اما مهاجمان برای این مانع نیز برنامه‌ای داشتند: حمله خستگی MFA (MFA Fatigue Attack).

بمباران نوتیفیکیشن: مهاجمان با استفاده از رمز عبور سرقت‌شده، به طور مداوم تلاش کردند وارد حساب VPN شوند. این کار باعث می‌شد تا نوتیفیکیشن‌های تأیید هویت (Push Notifications) به صورت سیل‌آسا و بی‌وقفه به گوشی هوشمند کارمند ارسال شود.
فیشینگ صوتی (Vishing): همزمان با بمباران نوتیفیکیشن‌ها، مهاجمان با کارمند تماس تلفنی برقرار کردند. آن‌ها خود را به عنوان “پشتیبانی فنی” جا زده و با لحنی متقاعدکننده و اضطراری، از کارمند خواستند تا یکی از این نوتیفیکیشن‌ها را برای “حل مشکل” تأیید کند.
تسلیم شدن هدف: در نهایت، کارمند خسته‌شده و گیج‌شده، یکی از این درخواست‌های تأیید هویت را پذیرفت. این لحظه، لحظه شکسته شدن دروازه‌های سیسکو بود.

قدم ۳: حرکت در شبکه و افزایش سطح دسترسی (Lateral Movement) جهت هک سیسکو

پس از ورود موفقیت‌آمیز به شبکه داخلی و هک سیسکو، مهاجمان به سرعت شروع به حرکت کردند تا جای پای خود را محکم‌تر کنند.

آن‌ها به سرورهای Citrix دسترسی پیدا کرده و توانستند امتیازات خود را به سطح ادمین ارتقا دهند.
کنترل چندین کنترل‌کننده دامنه (Domain Controllers) را به دست آوردند.
ابزارهای مخرب مختلفی مانند LogMeIn و Cobalt Strike را برای حفظ دسترسی و مدیریت از راه دور، روی سیستم‌های کلیدی نصب کردند.

هدف آن‌ها در این مرحله، رسیدن به حیاتی‌ترین بخش‌های شبکه و به دست آوردن حداکثر دسترسی ممکن بود.

قدم ۴: سرقت داده‌ها و تلاش برای هک سیسکو

مهاجمان موفق شدند به یک حساب کاربری Box (سرویس ذخیره‌سازی ابری) که به حساب کارمند قربانی متصل بود، دسترسی پیدا کنند. از این طریق، آن‌ها حدود ۲.۸ گیگابایت داده را که عمدتاً شامل اطلاعات غیرحساس و فایل‌های مهندسی بود، استخراج کردند.

سپس، گروه یانلووانگ با ارسال ایمیل‌هایی به مدیران ارشد سیسکو، آن‌ها را تهدید کردند که اگر باج مورد نظر را پرداخت نکنند، تمام فایل‌های سرقت‌شده را در دارک وب منتشر خواهند کرد. آن‌ها حتی لیستی از نام فایل‌ها را به عنوان مدرک، ضمیمه ایمیل خود کرده بودند.

بخش سوم: پاسخ به هک سیسکو؛ مدیریت بحران توسط غول امنیت

واکنش تیم‌های امنیتی سیسکو (Cisco Talos و Cisco Security) به این حمله، یک نمونه آموزنده از مدیریت بحران سایبری بود.

شناسایی و مهار فوری: تیم سیسکو در ۲۴ می ۲۰۲۲ متوجه فعالیت‌های مشکوک شد و بلافاصله فرآیند مهار را آغاز کرد. آن‌ها مهاجمان را از شبکه بیرون انداخته و تمام دسترسی‌های آن‌ها را قطع کردند.
شفافیت کامل: سیسکو برخلاف بسیاری از شرکت‌ها که تلاش می‌کنند حملات را پنهان کنند، با انتشار یک پست وبلاگ بسیار دقیق و فنی، تمام جزئیات حمله، از نقطه نفوذ تا تکنیک‌های استفاده‌شده را با عموم به اشتراک گذاشت. این اقدام، به افزایش آگاهی در کل صنعت کمک شایانی کرد.
عدم پرداخت باج: سیسکو اعلام کرد که هیچ باجی به مهاجمان پرداخت نکرده است.
اطمینان‌بخشی: این شرکت تأکید کرد که حمله هیچ تأثیری بر عملیات‌های تجاری حیاتی، محصولات یا سرویس‌های مشتریان نداشته و باج‌افزار اصلی هرگز روی سیستم‌های کلیدی آن‌ها اجرا نشده و تهدید قبل از مرحله نهایی خنثی شده است.

بخش چهارم: درس‌های کلیدی از هک سیسکو

این رویداد، صرفاً داستان هک شدن یک شرکت بزرگ نیست؛ بلکه مجموعه‌ای از درس‌های حیاتی برای تمام سازمان‌ها و کاربران است:

امنیت یک زنجیره است و انسان ضعیف‌ترین حلقه آن است: پیشرفته‌ترین سیستم‌های امنیتی با یک اشتباه انسانی (ذخیره رمز در حساب شخصی) و خستگی ناشی از یک حمله روانی (MFA Fatigue) فرو ریخت. آموزش مداوم کاربران حیاتی است.
MFA به تنهایی کافی نیست: سیستم‌های MFA مبتنی بر Push Notification ساده، در برابر حملات خستگی آسیب‌پذیر هستند. استفاده از روش‌های مقاوم‌تر مانند کدهای مبتنی بر زمان (TOTP) یا کلیدهای فیزیکی (FIDO2) ضروری است.
مرز بین زندگی شخصی و کاری در حال محو شدن است: هک شدن حساب شخصی یک کارمند، به نفوذ به یکی از امن‌ترین شرکت‌های جهان منجر شد. سازمان‌ها باید سیاست‌های روشنی در مورد امنیت دستگاه‌ها و حساب‌های شخصی کارمندان داشته باشند.
شفافیت پس از حمله، یک مزیت است: رویکرد شفاف سیسکو نه تنها به بازسازی اعتماد کمک کرد، بلکه اطلاعات ارزشمندی را در اختیار جامعه امنیتی برای مقابله با تهدیدات مشابه قرار داد.

در نهایت، حمله به سیسکو یک یادآوری قدرتمند بود که در چشم‌انداز پویای تهدیدات سایبری، دفاع موثر نیازمند ترکیبی از فناوری پیشرفته، هوشیاری انسانی و آمادگی دائمی برای پاسخ به حوادث غیرمنتظره است.

همچنان بخوانید: هک دستگاه های خودپرداز بیتکوین