Az IntelBroker álnéven ismert hírhedt fenyegetőző vállalta a felelősséget a Cisco nemrégiben történt megsértéséért, állítólag érzékeny információkat lopott el a cégtől. A Cisco, a hálózati technológia egyik jelentős szereplője, jelenleg vizsgálja az esetet.
Az IntelBroker egy szerb hackercsoport, amely 2022 októbere óta működik, és számos nagy horderejű kibertámadásról ismert, amelyek olyan szervezeteket céloznak meg, mint az Europol, a Pandabuy és az Apple. A fenyegetőző több mint 80 adatvédelmi incidenshez kapcsolódik. Azt állítják, hogy biztonsági okokból Oroszországban tartózkodnak.
A hét elején az IntelBroker a BreachForumson, a lopott adatok jól ismert online piacterén közzétett bejegyzésében jelentette be a Cisco-sértést. A bejegyzésben ez állt: „Ma eladom a nemrégiben (2024.06.10.) történt Cisco-sértést. Megsértette az IntelBroker, az EnergyWeaponUser és a zjj.”
A bejegyzés szerint a kompromittált adatok egy sor bizalmas anyagot tartalmaznak, mint például GitHub és GitLab projektek, SonarQube projektek, forráskód, hardcoded hitelesítő adatok, tanúsítványok, ügyfélforráskód-tárak (SRC), belső dokumentumok, Jira jegyek, API tokenek, AWS privát tárolócsoportok, Cisco Technology SRC-k, Docker buildek, Azure Storage tárolócsoportok, privát és nyilvános kulcsok, valamint SSL-tanúsítványok.
Az IntelBroker egy kis mintát adott az adatokból a jogsértés bizonyítékaként, de nem árulta el, hogyan hajtották végre a támadást. A Cisco tisztában van a követelésekkel, és megerősítette, hogy vizsgálja az esetet. „A Cisco tudomása van azokról a jelentésekről, amelyek szerint egy színész azt állítja, hogy hozzáfért bizonyos Ciscóval kapcsolatos fájlokhoz” – mondta a cég szóvivője. „Vizsgálatot indítottunk ennek az állításnak az értékelésére, és a vizsgálatunk folyamatban van.”
Háttér
Az IntelBroker hackelési tevékenysége 2022 októberében kezdődött, kezdetben kisebb szervezeteket célozva meg. 2023-ban azonban jelentős figyelemre tettek szert, miután feltörték a „Weee!” élelmiszer-kiszállítási szolgáltatást. A korai találgatások azt sugallták, hogy az IntelBroker egy képzett hackercsoport, valószínűleg egy iráni Persistent Threat Group. A The Cyber Expressnek adott interjúból azonban kiderült, hogy egyedül működnek. Az interjú során az IntelBroker nyilvánosságra hozta személyes adatait, köztük szerb állampolgárságukat és jelenlegi oroszországi lakhelyüket.
Az IntelBroker a hírhedt „CyberNiggers” hackercsoporttal is kapcsolatban áll, és 2024 augusztusától átvette a BreachForums kiberbűnözés elleni fórum tulajdonjogát. 2024 júniusáig az IntelBroker a jelentések szerint több mint 80 kiszivárogtatást és adateladást tett közzé a BreachForums oldalon, azt állítva, hogy több mint 400 szervezet adatait értékesítette. Taktika A hacker számos módszert alkalmaz, hogy jogosulatlan hozzáférést szerezzen biztonságos rendszerekhez, beleértve a kiszivárgott hitelesítő adatokat és a nyilvános alkalmazások sebezhetőségeit. Miután bekerültek, általában hosszabb ideig a hálózatban maradnak, növelve jogosultságaikat és kiszűrve az adatokat. Ezt az ellopott információt azután váltságdíjat kérnek, eladják vagy kiszivárogtatják, gyakran a BreachForums-on.
Endurance Ransomware
Az IntelBroker létrehozta a ransomware változatát, az „Endurance” néven, C#-ban írva, amelyet nyilvánosan elérhetővé tettek a GitHub oldalán. Bár ransomware-nek minősül, a szoftver valójában felülírja és törli a célzott fájlokat. Az Egyesült Államok Védelmi Minisztériumának kiberbűnözési központja megerősítette, hogy az IntelBroker az Endurance-t használta több amerikai kormányhivatal elleni támadásokban, és megállapította, hogy hasonlóságok vannak az iráni hackerekhez köthető Shamoon wiper malware-hez, amit az IntelBroker cáfolt.
Figyelemre méltó kibertámadások
2024 áprilisában az IntelBroker, Sanggiero hackertársával együtt feltörte az Acuity-t, az amerikai kormányzati technológiai vállalkozót, és hozzáférhetett a Five Eyes hírszerzési szövetséggel és az amerikai hadsereggel kapcsolatos érzékeny információkhoz. Az elsősorban egy Acuity GitHub adattárban tárolt adatok a Five Eyes tagjai közötti kommunikációt és az amerikai tisztviselők elérhetőségeit tartalmazták. Az Acuity később kijelentette, hogy a kiszivárgott információk elavultak és nem érzékenyek.
2024. március 31-én az IntelBroker segített Sanggierónak a Pandabuy kínai e-kereskedelmi platform feltörésében. Az ellopott felhasználói adatokat a BreachForums-on adták el jelképes bitcoin-fizetésért. A kiszivárogtatás előtt Pandabuy állítólag váltságdíjat fizetett, de az adatokat továbbra is nyilvánosságra hozták. A jogsértés állítólag több mint 3 millió ügyfél adatait érintette, bár a Have I Been Pwned elemzése szerint? megállapította, hogy csak körülbelül 1,3 millió bejegyzés volt jogos. Pandabuy arra irányuló kísérlete, hogy cenzúrázza a közösségi médiában zajló szivárogtatásról szóló vitákat, visszhangot kapott, és a kompenzációként felajánlott „10%-os fuvartámogatást” is rosszul fogadták. 2024 júniusában Sanggiero 17 millió felhasználói rekordot kísérelt meg eladni a jogsértésből 40 000 dollárért, miután egy újabb váltságdíjigényt elutasítottak.
2024. május 10-én az IntelBroker azt állította, hogy hozzáfért az Europol 9128 bizalmas nyilvántartásához, beleértve az alkalmazottak adatait, forráskódját és dokumentumokat. A feljegyzések főként az Europol Szakértői Platformtól és a SIRIUS programtól származtak. Az Europol megerősítette a kiszivárogtatást, de kijelentette, hogy az nem tartalmazott.
