Cisco ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ หลังจากผู้โจมตีใช้ข้อมูล credentials ที่ขโมยมาจากเหตุการณ์การโจมตีแบบ Supply Chain Attack ของ Trivy เมื่อเร็ว ๆ นี้ เพื่อบุกรุกเข้าสู่ระบบการพัฒนาภายใน และขโมย Source Code ของบริษัทรวมถึงของลูกค้าไป
แหล่งข่าวที่ไม่ประสงค์ออกนามเปิดเผยกับ BleepingComputer ว่า ทีม Unified Intelligence Center, CSIRT และ EOC ของ Cisco สามารถควบคุมเหตุการณ์การบุกรุกที่เกี่ยวข้องกับ "GitHub Action plugin" ที่เป็นอันตราย ซึ่งได้รับผลกระทบมาจากการถูกโจมตีของ Trivy ได้แล้ว
ผู้โจมตีได้ใช้ GitHub Action ที่เป็นอันตรายนี้เพื่อขโมยข้อมูล credentials และข้อมูลต่าง ๆ จากระบบการสร้าง และการพัฒนาของบริษัท ซึ่งส่งผลกระทบต่ออุปกรณ์หลายสิบเครื่อง รวมถึง Workstations ของนักพัฒนา และเครื่องในห้องปฏิบัติการบางส่วน
แม้ว่าการโจมตีในระยะแรกจะถูกควบคุมไว้ได้แล้ว แต่ BleepingComputer ได้รับข้อมูลว่า บริษัทคาดการณ์ว่าจะยังคงมีผลกระทบต่อเนื่องจากการโจมตี Supply Chain Attack ของ LiteLLM และ Checkmarx ที่ตามมา
โดยรายงานระบุว่า AWS keys จำนวนมากได้ถูกขโมยไปในระหว่างการโจมตี และถูกนำไปใช้โดยไม่ได้รับอนุญาตในบัญชี AWS ของ Cisco จำนวนหนึ่ง ซึ่งขณะนี้ทาง Cisco ได้แยกส่วนระบบที่ได้รับผลกระทบ เริ่มทำการติดตั้งระบบใหม่ และกำลังดำเนินการ rotation ข้อมูล credentials ไปทั้งหมดแล้ว
BleepingComputer ยังทราบข้อมูลว่ามี GitHub repositories มากกว่า 300 แห่งถูกคัดลอกไปในระหว่างเหตุการณ์นี้ ซึ่งรวมถึง Source Code สำหรับผลิตภัณฑ์ที่ขับเคลื่อนด้วย AI เช่น AI Assistants, AI Defense และผลิตภัณฑ์ที่ยังไม่ได้เปิดตัวอย่างเป็นทางการ
ยิ่งไปกว่านั้น Repositories ที่ถูกขโมยไปบางส่วนถูกอ้างว่าเป็นของลูกค้าองค์กร ซึ่งรวมถึงธนาคาร บริษัทรับจ้างบริการทางธุรกิจ (BPO) และหน่วยงานรัฐบาลของสหรัฐอเมริกา
แหล่งข่าวหลายแห่งให้ข้อมูลตรงกันว่ามีผู้โจมตีมากกว่าหนึ่งกลุ่ม ที่มีส่วนเกี่ยวข้องกับการโจมตีระบบ Cisco CI/CD และบัญชี AWS ในครั้งนี้ โดยมีระดับความรุนแรงที่แตกต่างกัน
การโจมตี Supply Chain ของ Trivy
เหตุการณ์โจมตีระบบของ Cisco มีสาเหตุมาจากการโจมตีแบบ Supply Chain Attack ผ่านเครื่องมือตรวจสอบช่องโหว่ที่ชื่อว่า Trivy ในเดือนนี้ โดยกลุ่มผู้โจมตีได้เจาะระบบ GitHub Pipeline ของโครงการ เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล credentials ผ่านทางเวอร์ชันที่ปล่อยออกมาอย่างเป็นทางการ และ GitHub Actions
การโจมตีในลักษณะนี้ช่วยให้สามารถขโมยข้อมูล CI/CD credentials จากองค์กรที่ใช้งานเครื่องมือนี้ ส่งผลให้ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมการสร้างระบบภายในได้หลายพันแห่ง
นักวิจัยด้านความปลอดภัยได้เชื่อมโยงการโจมตี Supply Chain Attack เหล่านี้เข้ากับกลุ่ม TeamPCP โดยพิจารณาจากการใช้งานมัลแวร์ขโมยข้อมูลที่พวกเขาตั้งชื่อเองว่า "TeamPCP Cloud Stealer" ซึ่ง TeamPCP ได้ดำเนินการโจมตี Supply Chain Attack มาอย่างต่อเนื่องโดยมุ่งเป้าไปที่แพลตฟอร์มการเขียนโค้ดสำหรับนักพัฒนา เช่น GitHub, PyPi, NPM และ Docker
นอกจากนี้ กลุ่มดังกล่าวยังได้โจมตีแพ็กเกจ LiteLLM บน PyPI ซึ่งส่งผลกระทบต่ออุปกรณ์หลายหมื่นเครื่อง รวมถึงโจมตีโครงการ Checkmarx KICS เพื่อติดตั้งมัลแวร์ขโมยข้อมูลตัวเดียวกันนี้อีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.