Cisco touchée par une attaque de Lapsus$ fin mai

Les données de login d’un employé de Cisco ont été dérobées, après qu’un hacker a réussi à avoir accès au compte Google personnel de ce collaborateur.

Via le compte, l’agresseur a pu atteindre les données de login stockées dans le navigateur web de l’employé. Cette attaque semble avoir été l’oeuvre du groupe de hackers Lapsus$.

L’entreprise américaine signale que le pirate a exécuté une série d’attaques d’hameçonnage complexes via des communications vocales, durant lesquelles il se fit passer pour diverses organisations ayant pignon sur rue. Il est ainsi parvenu à gagner la confiance de la victime et à la convaincre d’accepter des notifications ‘push’ d’authentification multi-facteur envoyées par le hacker.

Accès à un VPN

Ce faisant, l’agresseur a réussi à accéder à un VPN. Une fois à l’intérieur, le hacker y a effectué plusieurs activités, afin d’inciter le VPN à minimaliser ses traces et à obtenir davantage de droits aux systèmes environnants.

Cisco annonce avoir repoussé avec succès l’agresseur de son réseau, après quoi le pirate a de nouveau tenté sa chance à plusieurs reprises. Ces tentatives ont cependant été vouées à l’échec.

Cisco Security Incident Response (CSIRT) et Cisco Talos attribuent l’attaque à Lapsus$. Il s’agit là d’un groupe de cyber-agresseurs qui s’attaqua précédemment déjà notamment à T-Mobile US, à l’éditeur du logiciel d’authentification Okta, mais aussi à Microsoft, à Samsung et à Nvidia. Cisco affirme n’avoir aucune preuve que le hacker ait réussi à atteindre des systèmes critiques internes, comme par exemple des systèmes liés au développement de produits et à la signature de code.

En collaboration avec Dutch IT-Channel.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire