Хакеры заявили о краже конфиденциальных данных Cisco

Группировка ShinyHunters сообщила о краже конфиденциальных данных компании Cisco. Кража конфиденциальных данных могла произойти из-за атаки на цепочку поставок.

Члены известной киберпреступной группировки ShinyHunters взяли на себя ответственность за три отдельных атаки, направленных против Cisco Systems, одного из мировых лидеров в сфере сетевого оборудования.

В заявлении от 31 марта злоумышленники отметили, что взлом поставил под угрозу порядка 3 млн записей. Хакеры упоминают три различных вектора атак против Cisco: Salesforce CRM, Salesforce Aura (Experience Cloud) и среды учетных записей AWS.

ShinyHunters — одна из самых известных хакерских группировок. Предположительно, она сформировалась в 2019 году и постепенно стала одной из самых активных в киберпреступной среде объединений по краже данных и вымогательству.

Группа действует под несколькими отслеживаемыми псевдонимами, включая UNC6040 и UNC6395. Ее тактика связана с масштабными кампаниями вишинга (голосового фишинга), в ходе которых сотрудников компаний обманным путем и с помощью вредоносного ПО вынуждают предоставить доступ к учетным записям Salesforce посредством токенов OAuth. Получив доступ по OAuth, злоумышленники могут обойти системы многофакторной аутентификации, избежать сброса паролей и остаться незамеченными для мониторинга входа в систему, поскольку токены выдаются Salesforce автоматически.

На последующем этапе украденные токены используются для кражи конфиденциальной информации, включая ключи AWS, пароли и токены Snowflake, что позволяет хакерам осуществлять горизонтальное перемещение в облачных средах.

В марте 2026 г. группировка ShunyHunters заявила, что ей удалось взломать от 300 до 400 организаций, используя уязвимости в настройках гостевого доступа Salesforce Experience Cloud (Aura) и инструмент с открытым исходным кодом AuraInspector для автоматизации сканирования уязвимостей в средах Salesforce.

Согласно отчету компании Resecurity, записи, которые якобы были украдены у компании Cisco, содержат явные признаки принадлежности к средам Salesforce и имеют ссылки на клиентов и сотрудников Cisco.

Особую тревогу специалистов по кибербезопасности вызывает тот факт, что проанализированный набор данных включает записи, связанные с сотрудниками ФБР, Министерства внутренней безопасности (DHS), Агентства защиты информационных систем оборонного сектора США (DISA), Налогового управления США (IRS) и Национальное управление по аэронавтике и исследованию космического пространства (NASA), а также Министерства обороны Австралии и нескольких индийских правительственных учреждений — все они, вероятно, связаны с закупками или настройкой продуктов Cisco.

В последнее время компания Cisco стала жертвой нескольких инцидентов информационной безопасности, которые привели к утечкам конфиденциальной информации. Так, в августе 2025 г. стало известно, что в результате вишинговой атаки были скомпрометированы данные пользователей сайта Cisco.com.  А в октябре 2024 г. хакер под псевдонимом IntelBroker заявил о краже данных об инфраструктуре Cisco и сведений о разработке.

Источник: Cyber Security News