Cyberattaque : comment Cisco a repoussé Yanluowang

La revendication est apparue sur le site vitrine de la franchise de rançongiciel Yanluowang ce mercredi 10 août vers 18h30, heure de Paris, avec un message explicite : « Hot news straight from Cisco ». La publication a été assortie d’une liste de fichiers au format texte, suggérant que ceux-ci ont été dérobés à l’équipementier. Volume total ? 2,8 To de données, selon la liste. La réaction de Cisco ne s’est pas fait attendre.

Les équipes de sa division spécialisée dans le renseignement sur les menaces, Talos, ont, quasiment dans l’heure, publié un billet de blog révélant que « le 24 mai 2022, Cisco a pris conscience d’une potentielle compromission ».

Il y a bien eu intrusion, donc, mais pas de déploiement de ransomware, précise une déclaration de Cisco. Celle-ci, publiée en même temps que le billet de blog de Talos, laisse à penser que l’équipementier s’était préparé à la revendication de Yanluowang et attendait qu’elle survienne pour s’exprimer ouvertement sur l’incident.

L’attaque a commencé par le détournement du compte Google personnel d’un collaborateur de Cisco. Celui-ci avait activé la synchronisation des mots de passe au sein de son navigateur Chrome : l’accès à son compte a permis aux cybercriminels de mettre la main sur ses identifiants, et en particulier à celui permettant de se connecter au VPN de Cisco.

Mais les assaillants avaient encore besoin de contourner les mécanismes d’authentification à facteurs multiples (MFA) mise en place par l’équipementier : ils ont « conduit une série d’attaques sophistiquées de phishing vocal » (ou vishing) en se faisant passer pour diverses « organisations de confiance » jusqu’à réussir à convaincre le collaborateur malchanceux d’accepter la notification push de MFA.

Les équipes de Cisco assurent n’avoir pas trouvé d’indication d’un éventuel accès à des systèmes critiques tels que ceux liés au développement de produits ou à la signature de code. Elles décrivent par le menu le cheminement – étendu – de l’assaillant dans le système d’information, jusqu’à l’obtention « d’accès à privilèges à des contrôleurs de domaine ».

Cisco fournit une longue liste de marqueurs techniques associés à l’attaque. Mais sa division Talos partage également ses analyses. Selon ces dernières, l’assaillant serait un courtier en accès initiaux qui aurait déjà opéré pour les groupes UNC2447 et Lapsus$. Le premier a conduit des cyberattaques avec ransomware, en double extorsion. Le second s’est fait remarquer pour ses opérations contre Microsoft, ou encore Okta et Nvidia. Des arrestations ont eu lieu outre-Manche, mais certains membres du groupe pourraient encore être actifs.

Sur Twitter, John Fokker, responsable des investigations cyber chez Trellix, relève que certains marqueurs présentés par Talos avaient été identifiés fin mai. Qui plus est, ses équipes avaient alors réussi à récupérer la configuration d’une balise Cobalt Strike faisant ressortir un identifiant préalablement observé dans le cadre d’attaques ayant impliqué les rançongiciels Ryuk et Conti. Au total, cet identifiant a été observé par les équipes de Trellix « plus de 300 fois » sur une période « d’un peu plus d’un an ».