Cisco hat bestätigt, dass derzeit Untersuchungen laufen, nachdem Bedrohungsakteure behauptet haben, bei einem Cyberangriff am 6. Oktober 2024 eine große Menge an vertraulichen Daten gestohlen zu haben. Die Angreifer boten die angeblich gestohlenen Daten auf einem Hacker-Forum zum Verkauf an.
Ein Sprecher des US-amerikanischen Technologiekonzerns erklärte gegenüber BleepingComputer: “Wir sind uns der Berichte bewusst, dass ein Akteur behauptet, Zugriff auf bestimmte Cisco-bezogene Dateien erlangt zu haben. Wir haben eine Untersuchung eingeleitet, um diese Behauptung zu bewerten, und unsere Untersuchung ist noch im Gange.”
Die Bedrohungsakteure, die unter den Pseudonymen “IntelBroker”, “EnergyWeaponUser” und “zjj” auftreten, behaupten, bei dem Angriff eine Vielzahl sensibler Daten erbeutet zu haben, darunter Github- und Gitlab-Projekte, Quellcode, hartcodierte Anmeldedaten, Zertifikate, kundenspezifische SRCs, vertrauliche Cisco-Dokumente, Jira-Tickets, API-Token, private AWS-Buckets, Docker-Builds, Azure-Storage-Buckets, private und öffentliche Schlüssel, SSL-Zertifikate sowie Cisco Premium-Produkte.
IntelBroker teilte auf dem Hacker-Forum Proben der angeblich gestohlenen Daten, darunter eine Datenbank, Kundeninformationen, verschiedene Kundendokumentationen und Screenshots von Kundenmanagement-Portalen. Nähere Details zur Vorgehensweise bei dem Angriff nannte er jedoch nicht.
Mögliche Verbindung zu früheren Angriffen
Bereits im Juni begann IntelBroker damit, Daten von zahlreichen Unternehmen, darunter T-Mobile, AMD und Apple, zu verkaufen oder zu leaken. Branchenkenner vermuten laut BleepingComputer, dass diese Daten bei einem Cyberangriff auf einen Drittanbieter für DevOps- und Softwareentwicklungs-Dienstleistungen erbeutet wurden. Ob der aktuelle Vorfall bei Cisco damit in Verbindung steht, ist bislang unklar.