Et forsyningskjedeangrep førte til Cisco-kildekodetyveriet etter at angripere kompromitterte et mye brukt sikkerhetsverktøy. I stedet for å angripe Cisco direkte, tok de seg inn via en betrodd komponent i selskapets utviklingspipeline. På den måten fikk de tilgang til interne systemer og hentet ut sensitiv kode.
Hendelsen viser hvordan moderne angrep retter seg mot indirekte inngangspunkter, der tillit raskt blir det svakeste leddet.
Kompromittert verktøy ga første tilgang
Cisco-kildekodetyveriet startet med et brudd knyttet til sårbarhetsskanneren Trivy. Angriperne injiserte skadelig kode i distribusjonsprosessen og gjorde dermed et legitimt sikkerhetsprodukt til en angrepsvektor.
Da den kompromitterte versjonen ble kjørt i Ciscos miljø, samlet den inn legitimasjon knyttet til CI/CD-prosesser. Disse opplysningene gjorde det mulig for angriperne å autentisere seg som legitime prosesser, noe som hjalp dem med å unngå oppdagelse i de tidlige fasene.
Fordi aktiviteten fremsto som normal, reagerte ikke tradisjonelle sikkerhetskontroller umiddelbart.
Angriperne beveget seg gjennom interne systemer
Etter å ha fått tilgang utvidet angriperne rekkevidden sin i Ciscos utviklingsmiljø. De tok seg inn i systemer knyttet til byggpipelines, testmiljøer og skytjenester.
I denne fasen:
- Brukte de stjålet legitimasjon for å autentisere seg på tvers av tjenester
- Fikk de tilgang til interne utviklings- og labmiljøer
- Hentet de skynøkler knyttet til kritisk infrastruktur
Cisco svarte ved å tilbakekalle legitimasjon og isolere berørte systemer. Likevel hadde angriperne allerede etablert tilgang før tiltakene ble iverksatt.
Storskala kodeeksfiltrasjon bekreftet
Cisco-kildekodetyveriet omfattet en omfattende datatyverioperasjon. Angriperne klonet hundrevis av interne repositorier, inkludert prosjekter som fortsatt er under aktiv utvikling.
Den stjålne dataen inkluderer:
- Kildekode for interne verktøy og tjenester
- AI-relaterte prosjekter og eksperimentelle funksjoner
- Kode knyttet til funksjoner som ennå ikke er lansert
Noen av de berørte repositoriene tilhørte også eksterne samarbeidspartnere, noe som øker den potensielle påvirkningen utover Ciscos egne systemer.
Angrepet tyder på koordinert aktivitet
Etterforskere mener at flere trusselaktører deltok i angrepet. Ulike mønstre i tilgang og atferd tyder på at flere grupper opererte i det kompromitterte miljøet.
Dette øker risikoen for videre eksponering, siden stjålet data eller tilgang kan deles eller gjenbrukes. Samtidig gjør det håndteringen mer krevende, fordi flere aktører kan utnytte samme inngangspunkt på ulike måter.
Risikoen i forsyningskjeden øker
Cisco-kildekodetyveriet viser hvordan risikoen knyttet til tredjepartsverktøy fortsetter å vokse. Utviklingsmiljøer er avhengige av automatiserte systemer og eksterne komponenter, noe som skaper flere sårbare punkter.
Hendelsen viser at:
- Betrodde verktøy kan bli angrepsvektorer
- Eksponert legitimasjon er en kritisk svakhet
- Forsyningskjedeangrep kan ramme flere mål samtidig
Når systemene blir mer sammenkoblede, får angripere flere muligheter til å bevege seg videre gjennom betrodde miljøer.
Konklusjon
Cisco-kildekodetyveriet startet ikke med et direkte angrep på Ciscos forsvar. I stedet brukte angriperne et kompromittert verktøy for å oppnå betrodd tilgang.
Dette gjenspeiler en tydelig endring i trusselbildet. Angripere baserer seg ikke lenger kun på sårbarheter, men retter seg mot systemene og prosessene organisasjoner bruker daglig. Uten sterkere kontroll over disse avhengighetene vil lignende hendelser fortsette å oppstå.
0 responses to “Cisco-kildekodetyveri knyttes til Trivy-forsyningskjedeangrep”