Cisco から盗まれた 4.5 TB のデータ:IntelBroker が第二弾のサンプル 4.84 GB を公開

Hackers Release Second Batch of Stolen Cisco Data

2024/12/27 HackRead — 2024年10月に発生した、Cisco のデータ・インシデントで盗まれたとされる第二弾のデータが、ハッカーにより公開された。この侵害を背後で操る IntelBroker によると、12月24日に Breach Forums で公開された最新リークには、盗み出されたとされる 4.5 TB のデータの一部である、4.84 GB 分が含まれているという。

概要

IntelBroker の主張:2024年10月の Cisco 侵害から抽出されたデータの、第二弾のサンプルである 4.84 GB を公開し、全体である 4.5 TB の一部であると主張している。

漏洩したデータの内容:このデータに含まれるのは、ソフトウェア・アーティファクト/ネットワーク・コンフィグ情報/テストログ/クラウド・サーバ・イメージ/暗号化された署名などを取り込む機密ファイルが含まれており、知的財産や運用構成などが漏洩している。

ミスコンフィグ・リソースの悪用:一連のデータは、ミスコンフィグによりパスワード保護なしで公開された、オープンな DevHub リソースから取得された。つまり、ハッカーに対して、ダウンロードを許す状態にあった。

Cisco の対応:Cisco はインシデントを認め、パブリック・アクセスの無効化に対処し、機密データの侵害や漏洩がないことを確認したが、この主張に対してハッカーは異議を唱えている。

IntelBroker の実績:このハッカーは、Apple/AMD/Europol などへの侵害で知られており、ミスコンフィグされたシステムの悪用が止まらないという、サイバー・セキュリティにおける根深い問題を浮き彫りにしている。

Hackread.com が確認したように、漏洩したデータには大量の機密ファイルが含まれている。具体的に言うと、Java バイナリ/ソース コード/アプリケーション・アーカイブといったオリジナルのソフトウェア開発成果物がある。それに加えて、Cisco XRv9K 仮想ルーターのイメージや、ネットワーク関連のコンフィグ・ファイル/テストログやスクリプト/Zero Touch Provisioning (ZTP) ログ/パッケージなどの運用データ/クラウド・サーバのディスク・イメージ/Weixin Pay などの支払い SDK の暗号署名などもある。

IntelBroker on Breach Forums (Screenshot credit: Hackread.com)

さらに、この漏洩データに含まれるものには、コンフィグ・ファイル/内部プロジェクト・アーカイブなどの、各種のドキュメントがあるため、知的財産/ネットワーク・コンフィグ情報などの構、運用上の情報が漏洩する可能性もある。

File tree shared by IntelBroker on Breach Forums (Screenshot credit: Hackread.com)
背景

注目すべき点は、今回のインシデントで漏洩したデータは、Cisco がパスワード保護やセキュリティ認証なしで公開してしまった、ミスコンフィグされた公開 DevHub リソースから発生したことにある。それによりハッカーは、2024年10月の時点で、データセット全体のダウンロードを達成した。

ミスコンフィグサーバにアクセスした IntelBroker は、4.5 TB の情報を抽出できたと主張している。第一弾のサンプルとして、2.9 GB のファイルを含むデータの一部が2024年12月17日に公開されている。

Cisco の対応

2024年10月に派生したインシデントを認めた Cisco (PDF) は、一般公開を無効化したと述べている。さらに同社は、自社サーバは侵害されておらず、機密データは漏洩していないことを確認したと主張している。その一方でハッカーは、抽出したデータを公開し、Cisco の主張に対して反論している。

この漏洩に関して、Cisco はインシデント対応ページで、IntelBroker の主張を認識しており、今回に公開されたデータについて、2024年10月14日のインシデントに由来するものであると述べている。

Cisco の声明は、「2024年12月25日 (水) 東部標準時 17:07:脅威アクター IntelBroker は、さらなるデータの公開について X に投稿した。東部標準時 17:40:IntelBroker は BreachForums で 4.45 GB のデータを公開した。投稿データを分析したところ、2024年10月14日の、既知のデータセットと一致している」というものだ。

IntelBroker による過去の侵害

IntelBroker は、その一連のデータ侵害で注目を集めている。2024年6月に、このハッカーは Apple Inc.に侵入し、社内ツールのソースコードを盗んだと主張した。さらに、AMD (Advanced Micro Devices) に侵入し、従業員と製品の情報を盗んだと主張している。

また、2024年5月には、IntelBroker は Europol をハッキングしたと主張し、その後に、同機関は侵害を認めている。このハッカーによる、過去のデータ侵害の一部を以下に示す。

IntelBroker がリークする漏洩情報は、ミスコンフィグされたシステムと公開されたデータの継続的な悪用を示している。ShinyHunters や Nemesis などの有名なハッカーも、ミスコンフィグされたサーバと S3 バケットを標的にしていることから、この種の悪用が、大規模に展開されていることは明らかだ。

この IntelBroker による Cisco 侵害は、文中にも記されているように、2024年10月から注目を集めています。昨年は、ミスコンフィグによる侵害がスポットライトを浴びた年とも言えますが、その中でも、このインシデントは最大級のものだろうと思えます。よろしければ、IntelBroker + Cisco で検索も、ご参照ください。