• Gizli içerikleri açmak için anlamsız yorum yapmak, script isteğinde bulunmak ve link kısaltmak BAN sebebidir.

Cisco nasıl hacklendi? Nasıl aksiyon aldı?

Xrina

Üye
Katılım
22 Ağu 2022
Mesajlar
168
Tepkime puanı
66
Puanları
23
CISCO-1.png



ABD’li ağ teknolojisi devi Cisco, geçtiğimiz günlerde yaptığı açıklamayla bir çalışanı üzerinden hack olayı yaşandığını açıklamıştı.

Söz konusu olayın ardından hızlı aksiyon alan Cisco nasıl hacklendi? Nasıl aksiyon aldı?


92i9jhj.jpg



CISCO NASIL HACKLENDİ?

Cisco, 10 Ağustos Salı günü Çinli bir fidye yazılımı çetesinin kendilerini hacklediğini ve sızdırdıkları dosyaları yayınlayacağını bildirdiği dark web gönderisinden kısa süre sonra bir çalışanı üzerinden hacklendiğini doğrulamıştı.

Yapılan açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.

Ekip, ikili kimlik doğrulamayı sesli kimlik avı saldırıları ve çok faktörlü doğrulamayı (MFA) atlama tekniklerini kullanarak atlayan tehdit aktörünün kullanıcıya gelen doğrulama kodu aşamasını da bir şekilde çözdüğünü belirtmişti.


cisco-ransomware.jpg


VOICE PHISHING NEDİR?

Sesli kimlik avı saldırıları (voice phishing), tehdit aktörlerinin çalışanların hassas bilgilerini elde etmek için telefonları üzerinden aranarak kandırmaya çalıştığı giderek yaygınlaşan bir sosyal mühendislik yöntemi olarak biliniyor.

İlk erişimi elde eden tehdit aktörü, MFA için bir dizi yeni cihaz kaydederek Cisco VPN’de başarılı bir şekilde kimlik doğrulaması yaptı. Tehdit aktörü daha sonra ayrıcalık yükseltme zafiyetlerini kullanarak yönetici ayrıcalıklarından yararlanmaya başladı.

Tehdit aktörü, arka kapı oluşturmak ve kalıcılık kazanmak için LogMeIn ve TeamViewer gibi uzaktan erişim araçları, Cobalt Strike, PowerSploit, Mimikatz ve Impacket gibi saldırgan güvenlik araçları dâhil olmak üzere çeşitli araçları kullandı.

Çok sayıda sistemde oturum açmak için güvenliği ihlal edilmiş hesabı kullanmaya başlayan tehdit aktörü daha sonra etki alanı denetleyicilerine ayrıcalıklı erişim elde etti.

Kimlik bilgileri veritabanlarına erişim elde ettikten sonra tehdit aktörü, ayrıcalıklı kimlik doğrulama ve ortam boyunca yanal hareket için makine hesaplarından yararlandı.


Cisco+Was+Hacked+by+Yanluowang+Ransomware+Operators+to+Stole+Internal+Data.png



CISCO HEMEN YANIT VERDİ

Olayı fark eder fark etmez şirket çapında parola sıfırlaması uygulayan Cisco, daha sonra gerek güvenlik korumaları gerekse de iki ClamAV imzası oluşturarak tehdit aktörünün ilerlemesinin yavaşlatılmasında ve kontrol altında tutulmasında etkili oldu.

Stratejik ve Uluslararası Çalışmalar Merkezi’nde başkan yardımcısı olarak görev yapan Jim Lewis, “Cisco’nun başarısının sırrı, hızlı bir şekilde olayı tespit etmek.” ifadelerini kullandı.

Legendary Entertainment’ın başkan yardımcısı Dan Meacham ise saldırı vektörünün şeffaflığı ve Calm AntiVirüs imzalarının oluşturulmasını tebrik ederken bu saldırıdan çıkarılacak birkaç dersin olduğunu söyledi. Meacham, “Kullanıcılar, Google gibi kişisel hesaplarında kişisel bilgilerini önbelleğe almamasının yanında tüm hesaplarda MFA’yı etkinleştirmeleri gerekir.” dedi.

Bununla birlikte Meacham, “Kullanıcı davranış analizlerini izlemek her zaman güvenliği ihlal edilmiş hesabın belirlenmesinde birincil öncelik taşır. Cisco’nun da bu davranışları izlediğini ve bu durumun Cisco SOC’yi uyardığını Cisco Güvenlik Olayı Müdahale Merkezi’ni harekete geçirdiğini düşünüyorum.” dedi.


705a5c8e730de4f8d9de69b31ed296ce


Cisco’nun söz konusu olaya hızlı bir şekilde yanıt vermesi ve tehdit aktörünün daha fazla ilerleyememesinin değerini belirten ve diğer güvenlik ekiplerinin de benzer hızda yanıt vermesi için yorumda bulunan Meacham, “MFA Fatigue saldırılarını önlemek için çeşitli mekanizmalar kullanılması gerekiyor. Cihaz kaydını kısıtlamak için önlemlerin olması gerekiyor. Chrome hesaplarıyla diğer hesapların senkronize edilmemesi gerekiyor. Parola güvenliği uygulamalarının kullanılması gerekiyor.” ifadelerini kullandı.


h7fao2l.png
 

DeepiMpaCt

Olmazlara meyilim var..
Administrator
Root User
THS Strategy®
Katılım
25 Ağu 2017
Mesajlar
5,547
Tepkime puanı
602
Puanları
118
Ödüller
5
Konum
Monteal/Ca
Koskoca Cisco bile hackleniyor ise %100 güvenlik hala yok demektir. :)
 

Xrina

Üye
Katılım
22 Ağu 2022
Mesajlar
168
Tepkime puanı
66
Puanları
23
hocam herhangi bir time nasıl girebilrim? mesela yazılım ekibi
 

Xrina

Üye
Katılım
22 Ağu 2022
Mesajlar
168
Tepkime puanı
66
Puanları
23
tamam hocam time alırken telegram falan gibi hesap isimleri istiyormusunuz?
 

NasyoneL

Karanlık Özgürlüktür
Moderator
Katılım
25 Ağu 2017
Mesajlar
38,650
Tepkime puanı
2,818
Puanları
108
Ödüller
2
Siber güvenlik konusunda sözün bittiği yer
 
Üst