Google-Account war Einfallstor

So wurde auch Cisco gehackt

In die lange Liste namhafter IT-Player, die gehackt wurden, reiht sich nun auch Cisco ein. Ursache war das Verhalten eines leichtsinnigen Mitarbeiters. Wir zeigen, wie der Hack ablief.
Von 
CSO | 12. August 2022 11:30 Uhr
Mit Cisco wurde ein weiterer großer IT-Player gehackt.
Mit Cisco wurde ein weiterer großer IT-Player gehackt.
Foto: askarim - shutterstock.com

Mit Cisco können die kriminellen Hackerbanden nach Nvidia, Microsoft, Ubisoft, Samsung und Vodafone ein weiteres prominentes Opfer auf ihren Listen verbuchen. Ende Mai gelang es wohl einem Angreifer, in das Netz von Cisco einzudringen. Als Initial Access Broker (IAB) steht der Angreifer wohl in Verbindung zur UNC2447-Cybercrime-Gang und der Lapsus$-Gruppe sowie den Betreibern der Ransomware Yanluowang. Bei dem Angriff setzte der Hacker diesmal weder auf Zero-Day-Exploits, noch auf nicht eingespielte Patches oder Schwachstellen in der Netzkonfiguration, sondern auf klassische Social-Engineering-Techniken.

Begrenzter Schaden

Im Gegensatz zu den anderen prominenten Hacks konnte der Angreifer im Falle von Cisco wohl keine wertvollen Daten erbeuten. Laut der Webseite Bleepingcomputer.com, die nach eigenen Angaben eine E-Mail des Hackers erhielt, konnte dieser 2,75 GB an Daten, bestehend aus etwa 3.100 Dateien stehlen. Bei vielen dieser Dateien soll es sich um Vertraulichkeitsvereinbarungen (NDAs), Data Dumps sowie technische Zeichnungen handeln. Seitens Cisco heißt es dazu offiziell: "Ende Mai 2022 kam es zu einem Sicherheitsvorfall in unserem Unternehmensnetzwerk. Wir ergriffen sofort Maßnahmen, um die Angreifer einzudämmen und auszuschalten. Der Vorfall hatte keine Auswirkungen auf unser Geschäft, einschließlich der Produkte oder Dienstleistungen von Cisco, sensible Kundendaten oder sensible Mitarbeiterinformationen, das geistige Eigentum der Company oder unsere Lieferkette."

Protokoll eine Hacks

Die E-Mail des Hackers an Cisco
Die E-Mail des Hackers an Cisco
Foto: Cisco Talos

Das Unternehmen sah sich jetzt genötigt, an die Öffentlichkeit zu gehen, nachdem der Angreifer am 10. August im Dark Web eine Liste von Dateien veröffentlichte, die bei dem Sicherheitsvorfall gestohlen wurden. Bemerkenswert ist, wie offen Cisco dabei mit dem Vorfall umgeht und so anderen Unternehmen eine schöne "Lessons Learned"-Geschichte liefert. So schildert Ciscos hauseigene Security-Gruppe Talos in ihrem Blog detailliert, wie der Angreifer in das Netz eindringen konnte und was er dort unternahm.

Schwachstelle Google-Account

Ausgangspunkt für den Hack war dabei nicht ein Fehler bei Cisco, sondern bei Google. Der Angreifer konnte erfolgreich das persönliche Google-Konto eines Cisco-Mitarbeiters kompromittieren. Leichtsinniger Weise hatte der Benutzer die Kennwortsynchronisierung über Google Chrome aktiviert und seine Cisco-Anmeldedaten in seinem Browser gespeichert, so dass diese Informationen mit dem Google-Konto synchronisiert wurden.

Allerdings brachte das Kennwort allein dem Angreifer noch nichts, da die VPN-Zugänge bei Cisco zudem per Multifaktor-Authentifizierung (MFA) abgesichert sind. Um die MFA auszutricksen, griff der Hacker auf eine klassische Social-Engineerung-Technik zurück: Voice-Phishing, auch als "Vishing" bekannt. So berichtete der Mitarbeiter, dass er über mehrere Tage hinweg Anrufe erhielt, in denen die Anrufer - die in Englisch mit verschiedenen internationalen Akzenten und Dialekten sprachen - vorgaben, zu einer Support-Organisationen zu gehören, die er kannte und der er vertraute.

Der Hacker und seine Tools

Die Multifaktor-Authentifizierung des VPN-Zugangs trickste der Hacker mit klassischem Social-Engineering aus.
Die Multifaktor-Authentifizierung des VPN-Zugangs trickste der Hacker mit klassischem Social-Engineering aus.
Foto: Jirsak - shutterstock.com

Nachdem sich der Angreifer einen ersten Zugang verschafft hatte, meldete er eine Reihe neuer Geräte für die MFA an und authentifizierte sich erfolgreich beim Cisco VPN. Der Angreifer erlangte daraufhin Administratorrechte, die es ihm ermöglichten, sich bei mehreren Systemen anzumelden. Diese Aktionen alarmierten das Cisco Security Incident Response Team (CSIRT), das anschließend auf den Vorfall reagierte. Der Angreifer setzte dabei eine Reihe von Tools ein, darunter Fernzugriffstools wie LogMeIn und TeamViewer, offensive Sicherheitstools wie Cobalt Strike, PowerSploit, Mimikatz und Impacket, und legte eigene Backdoor-Konten an.

Nach dem ersten Zugriff auf die Umgebung führte der Ganove eine Reihe von Aktivitäten durch, um den Zugriff aufrechtzuerhalten und seine forensischen Spuren zu minimieren. Sobald der Angreifer auf einem System war, begann er, die Umgebung zu durchsuchen. Dafür verwendete er gängige integrierte Windows-Dienstprogramme verwendete, um die Benutzer- und Gruppenmitgliedschaftskonfiguration des Systems sowie den Hostnamen zu ermitteln und den Kontext des Benutzerkontos zu identifizieren, unter dem er arbeitete.

Angriff auf das Active Directory

Im Netz versuchte der Anwender das Active Directory zu löschen.
Im Netz versuchte der Anwender das Active Directory zu löschen.
Foto: Sashkin - shutterstock.com

Später drang er in die Citrix-Umgebung ein, kompromittierte eine Reihe von Citrix-Servern und erlangte schließlich privilegierten Zugriff auf Domänencontroller. Nachdem er sich Zugang zu den Domänencontrollern verschafft hatte, versuchte der Angreifer, mit der Datei "ntdsutil.exe" den Active Directory Service - früher als NT Directory Service (NTDS) bekannt - von den Controllern zu löschen. Anschließend arbeitete er daran, die gesammelten NTDS-Daten über SMB (TCP/445) vom Domänencontroller auf das VPN-System unter seiner Kontrolle zu schleusen.

Ein User namens "z"

Zudem wurde der Angreifer dabei beobachtet, wie er, nachdem er Zugriff auf die Anmeldedatenbanken erhalten hatte, Maschinenkonten für die privilegierte Authentifizierung und für laterale Bewegungen in der Umgebung nutzte. Ferner erstellte der Angreifer einen administrativen Benutzer namens "z" auf dem System mithilfe der integrierten Windows-Befehle "net.exe". Dieses Konto wurde dann der lokalen Administratorengruppe hinzugefügt. Ein Vorgehen, das Talos bereits bei Angriffen auf andere Systeme beobachtet hat.

Dieses Konto wurde dann in einigen Fällen dazu verwendet, zusätzliche Dienstprogramme wie "adfind" oder "secretsdump" auszuführen, um zu versuchen, die Verzeichnisdienstumgebung aufzulisten und zusätzliche Anmeldeinformationen zu erhalten. Außerdem wurde beobachtet, wie der Hacker versuchte, Registrierungsinformationen zu extrahieren, einschließlich der SAM-Datenbank auf kompromittierten Windows-Hosts.

Ein Verbrecher löscht seine Spuren

Der Angreifer unternahm Ferner Schritte, um Beweise für die auf den kompromittierten Systemen durchgeführten Aktivitäten zu entfernen, indem er das zuvor erstellte lokale Administratorkonto löschte. Außerdem verwendete er das Dienstprogramm "wevtutil.exe", um auf dem System generierte Ereignisprotokolle zu identifizieren und zu löschen. In vielen Fällen entfernte der Angreifer zusätzlich das zuvor erstellte lokale Administratorkonto, um seine Spuren zu verwischen.

Um Dateien zwischen den Systemen innerhalb der Umgebung zu verschieben, nutzte der Einbrecher das Remote Desktop Protocol (RDP) und Citrix. Dabei beobachtete Talos, dass die hostbasierten Firewall-Konfigurationen geändert wurden, um den RDP-Zugriff auf die Systeme zu ermöglichen.

Windows-Anmeldung ausgetrickst

Ransomware kam beim Cisco-Hack nicht zum Einsatz, aber die Vorbereitungen dafür liefen.
Ransomware kam beim Cisco-Hack nicht zum Einsatz, aber die Vorbereitungen dafür liefen.
Foto: Andrey_Popov - shutterstock.com

Des Weiteren nutzte der Angreifer Techniken zur Umgehung der Windows-Anmeldung, um die Möglichkeit zu erhalten, mit erhöhten Rechten auf die Systeme in der Umgebung zuzugreifen. Er stützte sich meist auf "PSEXESVC.exe", um aus der Ferne die Windows-Registrierung zu ändern. Auf diese Weise konnte er die Barrierefreiheitsfunktionen des Windows-Anmeldebildschirms nutzen, um eine Eingabeaufforderung auf Systemebene zu erzeugen, die ihm die vollständige Kontrolle über die Systeme ermöglichte.

Während des gesamten Angriffs versuchte der Eindringling, Informationen aus der Umgebung seines Opfers zu exfiltrieren. Im Fall von Cisco konnte er laut Talos nur den Inhalt eines Ordners entwenden, der mit dem Konto des kompromittierten Mitarbeiters und den Authentifizierungsdaten des Mitarbeiters aus dem Active Directory verbunden war. Zudem seien es keine sensiblen Daten gewesen.

Eingeschleuste Backdoor

Allerdings wollte der Eindringling nicht nur Daten klauen, sondern auch bösartige Apps in die Systeme einschleusen. Dazu gehört etwa eine einfache Backdoor, die Befehle von einem Command-and-Control-Server (C2) entgegennimmt und sie über den Windows Command Processor auf dem Endsystem ausführt. Die Befehle werden in "JSON-Blobs" gesendet und sind Standard für eine Backdoor. Es gibt einen "DELETE_SELF"-Befehl, der die Backdoor vollständig aus dem System entfernt. Ein anderer, interessanterer Befehl, "WIPE", weist die Backdoor an, den zuletzt ausgeführten Befehl aus dem Speicher zu entfernen, wahrscheinlich in der Absicht, die forensische Analyse auf allen betroffenen Hosts zu beeinträchtigen. Ferner erstellte die Malware eine Datei namens "bdata.ini" in ihrem Arbeitsverzeichnis. Diese enthält einen Wert, der von der Seriennummer des Datenträgers auf dem infizierten System abgeleitet ist. Die Analyse der C2-Infrastruktur im Zusammenhang mit der Backdoor ergab, dass der C2-Server speziell für diesen Angriff eingerichtet wurde.

Weitere Angriffe

Der Hack zeigt, wie wichtig es ist, das Sicherheitsbewußtsein der Mitarbeiter zu trainieren.
Der Hack zeigt, wie wichtig es ist, das Sicherheitsbewußtsein der Mitarbeiter zu trainieren.
Foto: Omelchenko - shutterstock.com

Nachdem das Security-Team von Cisco den Angreifer erfolgreich aus dem Netz geworfen hatte, bemerkte es in den folgenden Wochen weiterhin kontinuierliche Versuche des Hackers, den Zugriff wiederherzustellen. Da alle Nutzer nach dem Angriff ihre Passwörter zurücksetzen mussten, setzte der Angreifer auf eine schwache Passwort-Rotationshygiene. In seinem Visier waren vor allem Benutzer, von denen er annahm, dass sie ihre früheren Passwörter mit nur einem Zeichen geändert hatten. Um dies Spuren zu verschleiern, wurden bei den Angriffsversuchen zunächst Anonymisierungsdienste wie Tor genutzt. Nachdem dies jedoch nur begrenzten Erfolg hatte, ging er dazu über, neue VPN-Sitzungen vom privaten IP-Raum aus aufzubauen, indem er Konten nutzte, die er bereits in der Anfangsphase des Angriffs kompromittiert hatte.

Ferner versuchte der Angreifer nach dem Rausschmiss wiederholt, eine E-Mail-Kommunikation mit leitenden Cisco-Mitarbeitern herzustellen, ohne jedoch konkrete Drohungen oder Erpressungsforderungen zu stellen. Eine E-Mail enthielt einen Screenshot, der die Verzeichnisliste der entwendeten Daten zeigte.

Cisco geht nach der Analyse des Vorfalls davon aus, dass die Attacke von einem Angreifer durchgeführt wurde, der zuvor als Initial Access Broker (IAB) mit Verbindungen zu UNC2447 und Lapsus$ identifiziert worden ist. Die Forensiker kamen aufgrund der sichergestellten Spuren, der identifizierten Taktiken, Techniken und Verfahren (Tactics, techniques and procedures (TTPs)), der verwendeten Infrastruktur und der Analyse der verwendeten Backdoor zu dieser Erkenntnis.

IABs versuchen in der Regel, sich privilegierten Zugang zu Unternehmensnetzen zu verschaffen und diesen Zugang dann zu Geld zu machen, indem sie ihn an andere Kriminelle verkaufen, die ihn dann für eine Vielzahl von Zwecken nutzen können. Ferner habe man frühere Aktivitäten beobachtet, die den Akteur mit der Yanluowang-Ransomware-Gang in Verbindung bringen.

Drohte eine Ransomware-Attacke?

Auch wenn bei diesem Angriff keine Ransomware eingesetzt wurde, entsprachen die verwendeten TTPs den "Vor-Ransomware-Aktivitäten", das heißt den Aktivitäten, die üblicherweise im Vorfeld des Einsatzes von Ransomware in den Umgebungen der Opfer beobachtet werden. Viele der beobachteten TTPs stimmten, so Cisco, mit Aktivitäten überein, die die Cisco Security Teams bei früheren Einsätzen beobachtet haben. Ferner deute die Analyse auf die Wiederverwendung von serverseitiger Infrastruktur hin, die ebenfalls mit diesen früheren Einsätzen in Verbindung steht.

Ciscos Lessons learned

Unmittelbar nach Bekanntwerden des Vorfalls führte Cisco nach eigenen Angaben unternehmensweit eine Rücksetzung der Passwörter durch. Zudem hätten die langjährigen Erkenntnisse des CSIRT und von Talos sowie die daraus resultierenden Sicherheitsvorkehrungen dabei geholfen, das Voranschreiten des Angreifers zu verlangsamen und einzudämmen. Anderen IT-Verantwortlichen empfiehlt Cisco deshalb, in ihren Unternehmen folgende Sicherheitsmaßnahmen zu ergreifen:

  • Aufklärung der Mitarbeiter über Social-Engineering-Techniken.

  • Information über die legitimen Wege kennen, auf denen das Support-Personal mit den Benutzern in Kontakt tritt.

  • Schulung der Benutzer, MFA-Umgehungstechniken erkennen zu können.

  • Starke Geräteüberprüfung und strenge Kontrolle des Gerätestatus, um die Anmeldung und den Zugriff von nicht verwalteten oder unbekannten Geräten zu begrenzen oder zu blockieren.

  • VPN-Verbindungen von entfernten Endpunkten nur zulassen, wenn eine Reihe von Basissicherheitskontrollen durchgesetzt wird.

  • Segmentierung des Netzwerks.

  • Zentrale Protokollerfassung für eine höhere Transparenz, besonders wenn Angreifer aktiv versuchen, Systemprotokolle zu löschen.

  • Backups offline stellen und regelmäßig testen.

  • Die Überwachung der Befehlsausführung auf Command-Line-Ebene. Besonderes Augenmerk sollte hier den integrierten Windows-Dienstprogrammen gelten.

Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN).