Le célèbre hacker « IntelBroker » propose de vendre une grande quantité de données sensibles de Cisco qui auraient été volées lors d'une intrusion survenue en juin 2024. Deux autres hackers « EnergyWeaponUser » et « zjj », mentionnés par IntelBroker, auraient également participé à l’attaque. L'équipementier réseau et télécom américain serait en train d'enquêter sur cette prétendue violation après la publication par IntelBroker d’un échantillon de données volées sur BreachForums. « Cisco est au courant des rapports selon lesquels un acteur prétend avoir eu accès à certains fichiers liés à Cisco », a déclaré un porte-parole de de l'entreprise à Bleeping computer. « Notre enquête est toujours en cours pour vérifier ces allégations. »
L’intrusion aurait affecté une grande quantité de données de développeurs travaillant pour un certain nombre de clients de Cisco, dont de grands fournisseurs comme Microsoft, Barclays, SAP, T-Mobile, AT&T et Verizon. Selon DarkEye, les données compromises comprenaient du code source, des identifiants codés en dur, des certificats, des jetons d'API, etc. « Données compromises : Projets GitHub, projets Gitlab, projets SonarQube, code source, identifiants codés en dur, certificats, SRC de clients, documents confidentiels Cisco, tickets Jira, jetons API, buckets privés AWS, SRC de technologies Cisco, Docker Builds, buckets de stockage Azure, clés privées et publiques, certificats SSL, produits Cisco Premium et plus encore », énumère IntelBroker dans son message. Ce dernier a également fourni des échantillons des données volées, notamment une base de données, des informations sur les clients, plusieurs documents relatifs aux clients et des captures d'écran des portails de gestion des clients.
Un acteur malveillant très actif
IntelBroker, l'un des membres les plus fréquents de BreachForums, a connu une année extrêmement active, revendiquant plusieurs intrusions très médiatisées en 2024. Le hacker s'est déjà attaqué à diverses entreprises, dont General Electric, Europol, Lulu Hypermarket et Zscaler. Dans le passé, le pirate s'est également attaqué à des entités de premier plan comme Home Depot, Facebook Marketplace et Space-Eyes. En juin, IntelBroker a commencé à divulguer ou à vendre des données provenant de plusieurs entreprises, dont T-Mobile, AMD et Apple. On ne sait pas encore si la faille de Cisco est liée à ces incidents du mois de juin. Les clients sont toujours en attente du rapport d'enquête du fournisseur, mais il est peu probable qu'IntelBroker ait fait de fausses déclarations, car cela a rarement été le cas par le passé, sauf pour les piratages d'Apple et d'Europol, où il avait exagéré l'ampleur des violations.