Ein Hacker hat den Softwarekonzern Cisco angegriffen. Die nun publik gewordene Attacke erfolgte Ende Mai, am Mittwoch dieser Woche wurde eine Liste mit Datensätzen im Darknet veröffentlicht. Laut Cisco gibt es aber keinen Hinweis darauf, dass der Angreifer Zugang zu kritischen internen Systemen erlangt habe.

Wie Cisco in einem Blog-Eintrag schildert, hebelte der Angreifer die Mehrfaktor-Authentifizierung in mehreren Schritten aus: Er knackte zunächst den persönlichen Google-Account eines Mitarbeiters und gelangte dadurch an Passwörter, die im Browser hinterlegt waren. Mit Hilfe fingierter Telefonanrufe und einer Flut an Push-Nachrichten brachte der Angreifer den Mitarbeiter schließlich dazu, eine vom Hacker stammende Push-Nachricht zu ak­zeptieren, und gelangte so ins Unternehmensnetzwerk.

Cisco vermutet hinter dem Angriff einen Initial Access Broker, der Zugänge zu Unternehmensnetzwerken an andere Cyberkriminelle weiterverkauft. Dieser stehe vermutlich mit der Cybercrime-Gruppe UNC2447, der Hackergruppe Lapsus$ und der Ransomware-Gruppe Yanluowang in Verbindung, hieß es.