Cisco ha recentemente confermato che sta indagando sulle segnalazioni di una grave violazione dei dati. Le affermazioni sono emerse dopo che un noto gruppo di hacker, IntelBroker, ha affermato di aver ottenuto un accesso non autorizzato ai sistemi Cisco. In un post su un forum sulla criminalità informatica, IntelBroker ha spiegato di aver violato Cisco il 10 giugno 2024, rubando una quantità significativa di dati, che secondo quanto riferito include codice sorgente, documenti interni Cisco e dati riservati dei clienti.
Chi si nasconde dietro la violazione dei dati di Cisco?
Un portavoce di Cisco ha condiviso una dichiarazione con Computer che dormeaffermando: “Cisco è a conoscenza di rapporti secondo cui un attore afferma di aver ottenuto l’accesso a determinati file relativi a Cisco. Abbiamo avviato un’indagine per valutare questa affermazione e la nostra indagine è in corso”. Questa dichiarazione pubblica evidenzia l’approccio cauto di Cisco confermando al contempo che un’indagine è effettivamente in corso. Il portavoce, tuttavia, non ha rivelato dettagli specifici riguardo alla natura o alla portata della presunta violazione.
IntelBroker ha affermato di aver collaborato con altre due persone, identificate come EnergyWeaponUser e “zjj”, per ottenere l’accesso ai sistemi Cisco. I dati compromessi includono progetti di GitHub, GitLab e SonarQube, insieme a credenziali hardcoded, certificati SSL, bucket di archiviazione AWS e Azure, token API e molto altro. L’autore della minaccia ha anche pubblicato campioni dei dati rubati, che includono screenshot di vari portali di gestione dei clienti, un database e documentazione interna di Cisco.
I dati sarebbero stati rubati da un fornitore di servizi gestiti di terze parti coinvolto nello sviluppo del software Cisco e nei servizi DevOps. Le fonti indicano che questo stesso fornitore ha dovuto affrontare violazioni che hanno coinvolto altre importanti aziende, tra cui T-Mobile e Apple. Tuttavia non è chiaro se questo fornitore terzo sia stato anche la causa dei recenti problemi di Cisco.
Quali dati sarebbero stati compromessi?
Il post di IntelBroker delinea un’ampia gamma di informazioni che sarebbero state rubate. Secondo l’autore della minaccia, i dati compromessi includono progetti di sviluppo ospitati su piattaforme come GitHub, GitLab e SonarQube, che sono fondamentali per i processi di sviluppo software di Cisco. Inoltre, gli hacker affermano di aver ottenuto credenziali codificate incorporate nel codice sorgente, che potrebbero potenzialmente fornire accesso non autorizzato ad altre parti dei sistemi Cisco. Secondo quanto riferito, anche i certificati di sicurezza, inclusi i certificati SSL e le chiavi di crittografia pubbliche e private, sono stati compromessi, ponendo un serio rischio per la sicurezza delle comunicazioni all’interno della rete Cisco.
I dati rubati includono anche documenti interni etichettati come “Cisco Confidential”, che potrebbero contenere informazioni operative sensibili. Inoltre, gli hacker affermano di aver ottenuto l’accesso ai token API e ai dati di archiviazione nel cloud, inclusi i bucket privati AWS e i bucket di archiviazione di Azure. Queste risorse potrebbero essere sfruttate per ottenere l’accesso non autorizzato a sistemi cruciali. Altri elementi sensibili elencati includono build Docker, ticket Jira e dettagli relativi ai prodotti premium di Cisco.
Aziende potenzialmente interessate
IntelBroker sostiene che numerose aziende di alto profilo potrebbero essere colpite dalla violazione. Le presunte vittime appartengono a diversi settori, tra cui telecomunicazioni, finanza e tecnologia, sollevando preoccupazioni sulla potenziale esposizione di risorse critiche. Tra le potenziali vittime sono state citate aziende di telecomunicazioni come Verizon, AT&T (sia negli Stati Uniti che in Messico), British Telecom, Vodafone (in Albania e Australia) e T-Mobile (negli Stati Uniti e in Polonia). Nel settore finanziario, sarebbero interessate entità importanti come Bank of America, Barclays e National Australian Bank. Inoltre, anche le organizzazioni tecnologiche e sanitarie, tra cui Microsoft, Liberty Global e Dignity Health, sono elencate come vittime della presunta violazione.
Anche se queste affermazioni devono ancora essere verificate, il coinvolgimento di organizzazioni di così alto profilo ha suscitato notevole preoccupazione. La portata dei dati potenzialmente compromessi presenta seri rischi non solo per Cisco ma anche per le aziende interessate e i loro clienti.
IntelBroker ha messo in vendita i dati rubati su un noto forum di hacking. Secondo il loro post, i dati sono disponibili per l’acquisto utilizzando Monero (XMR), una criptovaluta popolare per le sue funzionalità di privacy. L’hacker ha inoltre espresso la volontà di avvalersi di un intermediario per la transazione, pratica comune tra i criminali informatici che mirano a garantire l’anonimato durante il processo di vendita. Utilizzando una criptovaluta come Monero e offrendo di utilizzare un intermediario, IntelBroker sta tentando di rendere difficile per le forze dell’ordine monitorare sia il venditore che il potenziale acquirente.
Secondo quanto riferito, i dati offerti in vendita includono informazioni sensibili, come certificati, token API e credenziali che potrebbero essere utilizzate per accedere ai sistemi di Cisco o a quelli dei suoi clienti. Le tattiche del gruppo di hacker seguono una tendenza più ampia in cui i criminali informatici spesso monetizzano i dati rubati attraverso forum clandestini, a volte addirittura vendendoli ad aziende concorrenti o stati-nazione.
Conseguenze della violazione dei dati di Cisco
Le conseguenze di una violazione dei dati confermata su Cisco potrebbero essere significative, sia in termini di perdite finanziarie che di danni alla reputazione. Le violazioni dei dati spesso comportano pubblicità negativa, riduzione della fiducia dei clienti e un calo del valore di mercato dell’azienda, tutti fattori che potrebbero potenzialmente incidere sui profitti di Cisco. In effetti, le azioni di Cisco Systems hanno registrato un leggero calo dopo che la notizia della presunta violazione è stata resa pubblica. HackManac ha pubblicato i dettagli della violazione sulla piattaforma social X (ex Twitter), portando le azioni a scendere da 0,30 dollari a 53,95 dollari durante le contrattazioni pomeridiane.
🚨Avviso di violazione dei dati ‼️
IntelBroker, in collaborazione con EnergyWeaponUser e zjj, afferma di vendere dati da una recente violazione di Cisco.
Secondo quanto riferito, i dati compromessi includono progetti GitHub e GitLab, progetti SonarQube, codice sorgente, credenziali hardcoded, certificati,… pic.twitter.com/b3ZHbLs773
— HackManac (@H4ckManac) 14 ottobre 2024
Questo calo potrebbe riflettere l’incertezza degli investitori, soprattutto alla luce delle ampie affermazioni fatte da IntelBroker. Al momento in cui scrivo, secondo TradingView Secondo i dati, il prezzo delle azioni Cisco è pari a 54,16 dollari, mostrando una certa stabilizzazione dopo l’incidente.
La risposta di Cisco finora
La risposta di Cisco è stata misurata, fornendo informazioni limitate pur confermando che stanno indagando attivamente sulle affermazioni. Questo approccio potrebbe indicare che la società sta ancora lavorando per determinare l’intera portata di qualsiasi violazione che potrebbe essersi verificata. Dato il coinvolgimento di clienti aziendali di alto profilo e la natura dei dati rubati, è probabile che Cisco dovrà affrontare notevoli pressioni per fornire una dichiarazione pubblica completa una volta concluse le indagini.
Hackread.com ha anche riferito di aver contattato Cisco per un commento ma non ha ancora ricevuto risposta. Se le affermazioni verranno confermate, la strategia di pubbliche relazioni di Cisco dovrà probabilmente affrontare non solo la portata dell’attacco, ma anche fornire dettagli su come intendono mitigare i potenziali rischi futuri.
IntelBroker: una storia di violazioni dei dati
IntelBroker ha una comprovata esperienza nella conduzione di violazioni di dati di alto profilo. All’inizio di quest’anno, il gruppo di hacker ha rivendicato la responsabilità di aver violato diverse importanti aziende, tra cui T-Mobile, HPEE AMD. Durante l’attacco ad Apple nel giugno 2024, IntelBroker ha affermato di aver rubato il codice sorgente relativo agli strumenti interni dell’azienda, mentre nel caso di AMD avrebbe avuto accesso a informazioni sensibili sui dipendenti e sui prodotti.
La crescente importanza di IntelBroker nella comunità del crimine informatico rende particolarmente preoccupante la recente denuncia contro Cisco. Anche se resta da vedere se tutti i dettagli sono accurati, i precedenti successi del gruppo di hacker conferiscono un certo livello di credibilità alle attuali accuse. Le forze dell’ordine, così come le aziende interessate, stanno probabilmente monitorando da vicino le attività di IntelBroker nel tentativo di capire come si sono verificate queste violazioni e cosa si potrebbe fare per mitigare tali rischi in futuro.
Credito immagine in primo piano: Cisco
