Im Oktober behauptete der berüchtigte Hacker IntelBroker, in die Systeme von Cisco eingedrungen zu sein und sich Zugang zu Quellcode, Zertifikaten, Anmeldedaten, vertraulichen Dokumenten, Verschlüsselungsschlüsseln und anderen sensiblen Informationen verschafft zu haben. Der Hacker behauptete, dass der erlangte Quellcode mit mehreren großen Unternehmen in Verbindung steht.
Die Untersuchung von Cisco ergab jedoch, dass die Systeme des Unternehmens nicht angegriffen wurden. Stattdessen wurde auf die Daten von einer öffentlich zugänglichen DevHub-Umgebung aus zugegriffen, einer Ressourcendrehscheibe, von der Kunden Quellcode, Skripte und andere Materialien herunterladen können. Während die meisten Inhalte auf dem DevHub öffentlich waren, räumte Cisco ein, dass einige Dateien, die eigentlich privat bleiben sollten, aufgrund eines Konfigurationsfehlers versehentlich zugänglich gemacht wurden. Zu den Dateien, auf die zugegriffen wurde, gehörten Materialien, die sich auf bestimmte CX Professional Services-Kunden bezogen.
Ursprünglich erklärte Cisco, dass es keine Beweise dafür gebe, dass vertrauliche oder sensible personenbezogene Daten kompromittiert worden seien. Diese Aussage wurde jedoch inzwischen aus den Vorfallsberichten entfernt.
Um ihre Behauptungen zu untermauern und Käufer für die verbleibenden Daten zu gewinnen, hat IntelBroker einen Teil des Datensatzes veröffentlicht. Das 2,9 GB große Leck enthält Berichten zufolge sensible Komponenten, darunter:
- Cisco ISE (Identity Services Engine): Netzzugangskontrolle und Identitätsmanagement.
- Cisco SASE (Secure Access Service Edge): Cloud-basierte sichere Netzwerk- und Zugangslösungen.
- Cisco Webex: Collaboration-Tools für Videokonferenzen und Messaging.
- Cisco Umbrella: DNS-Sicherheitsplattform zum Blockieren bösartiger Domains.
- Cisco IOS XE & XR: Betriebssysteme für fortgeschrittene Netzprogrammierbarkeit.
- Cisco C9800-SW-iosxe-wlc.16.11.01: Wireless LAN Controller-Software für Catalyst-Plattformen.
Ein Screenshot, der in den Breach-Foren geteilt wurde, hebt die durchgesickerten Dateien und die Behauptungen von IntelBroker hervor und verleiht dem Vorfall Glaubwürdigkeit.
Der Hacker behauptete außerdem, 4,5 TB an Daten vom DevHub heruntergeladen zu haben. IntelBroker behauptete zuvor, dass insgesamt 800 GB an Dateien erworben wurden, obwohl der Hacker dafür bekannt ist, solche Behauptungen zu übertreiben.
Empfohlen von LinkedIn
Nach dem jüngsten Leck von IntelBroker erklärte Cisco am Dienstag, dass man sich der Behauptungen des Hackers bewusst sei und davon ausgehe, dass die erwähnten Dateien mit denen übereinstimmen, die bei früheren Untersuchungen identifiziert wurden.
"Wie bereits in früheren Updates erwähnt, sind wir weiterhin zuversichtlich, dass unsere Systeme nicht angegriffen wurden. Außerdem haben wir in den durchgesickerten Inhalten keine Informationen gefunden, die für den Zugriff auf unsere Produktions- oder Unternehmensumgebungen hätten verwendet werden können", betonte Cisco.
IntelBroker ist ein Bedrohungsakteur, der dafür bekannt ist, öffentlichkeitswirksame Datenschutzverletzungen zu inszenieren, die auf Unternehmen wie Apple, Zscaler und Facebook Marketplace abzielen. Sie sind dafür bekannt, den Zugang zu kompromittierten Systemen und Daten in Untergrundforen wie BreachForums zu verkaufen. IntelBroker hat sich zu Sicherheitsverletzungen bei Regierungsbehörden wie Europol, dem US-Verkehrsministerium und dem Pentagon bekannt, bei denen sensible Informationen und geheime Dokumente durchsickerten. Der Akteur wurde mit Sicherheitsverletzungen bei Unternehmen wie Acuity, General Electric und Home Depot in Verbindung gebracht, was zeigt, dass er es immer wieder auf kritische Infrastrukturen und große Unternehmen abgesehen hat.
