导语:2026年3月,臭名昭著的数据勒索组织ShinyHunters再次将目标对准网络巨头思科(Cisco)。这一次,他们声称已成功渗透思科的Salesforce CRM系统、GitHub代码仓库和AWS S3存储桶,共窃取超过300万条包含敏感个人信息的记录。更令人担忧的是,泄露数据中甚至包括FBI、美国国土安全部(DHS)、美国国税局(IRS)、NASA以及澳大利亚国防部和印度政府机构的人员信息。黑客已发出“最后通牒”,要求思科在4月3日前与他们取得联系,否则将公开全部数据。这已是思科在不到两年时间内遭遇的第三起重大数据泄露事件。
一、事件概述
1.1 攻击者身份
本次攻击的幕后黑手是臭名昭著的ShinyHunters黑客组织。该组织自2019年左右兴起,目前已发展成为网络犯罪生态中最活跃的数据盗窃和勒索运营团队之一。安全研究人员追踪发现,ShinyHunters还使用多个别名进行活动,包括UNC6040和UNC6395。
这个组织以什么德性闻名?——专挑大型企业下手,通过社会工程学和漏洞利用相结合的手段,一次性端掉数百家企业的数据。2026年3月,他们声称已通过利用Salesforce Experience Cloud(Aura)配置错误的“访客访问权限”,成功入侵了300至400家组织。而思科,只是其中最“耀眼”的目标。
1.2 攻击时间线
根据ShinyHunters在其数据泄露网站上的公示,这次攻击的具体时间线如下:
- 2026年3月:ShinyHunters开始对思科实施渗透攻击
- 2026年3月31日:攻击者更新泄露页面,标注数据记录数已超过300万条
- 2026年4月1日:安全研究员Dominic Alvieri首次公开披露此事件
- 最后通牒:2026年4月3日前,思科必须联系攻击者,否则数据将全面公开
![图片[1]-最后通牒:思科再陷数据泄露风暴 FBI NASA等政府机构信息或已外泄](https://www.77169.net/wp-content/uploads/2026/04/image-5.png)
截至目前(2026年4月2日),思科尚未对此事发布正式公开回应。
1.3 泄露数据规模与敏感性
根据威胁情报公司Resecurity公布的分析报告,ShinyHunters声称从思科窃取的数据涵盖三大领域:
| 数据类型 | 描述 |
|---|---|
| Salesforce CRM记录 | 超过300万条,包含客户和员工的个人身份信息(PII) |
| GitHub源代码仓库 | 思科内部代码库,可能包含专有技术 |
| AWS S3存储桶 | 思科云存储环境中的敏感数据 |
最敏感的信息:泄露数据中明确包含以下政府机构的人员记录:
- 美国联邦调查局(FBI)
- 美国国土安全部(DHS)
- 美国国防信息系统局(DISA)
- 美国国税局(IRS)
- 美国国家航空航天局(NASA)
- 澳大利亚国防部
- 多个印度政府机构
这些数据很可能与这些机构采购或配置思科产品有关。对于攻击者而言,这类信息是策划精确钓鱼攻击、社会工程学攻击和供应链攻击的顶级筹码。
二、攻击技术解密:三步走战略
ShinyHunters的攻击手段并非什么新鲜玩意儿,但之所以能屡屡得手,关键在于把简单的招数练到极致。下面拆解他们针对思科的完整攻击路径:
2.1 第一步:语音钓鱼(Vishing)+ OAuth令牌欺骗
攻击链的起点,是一次典型的语音钓鱼攻击(Vishing)。
ShinyHunters的UNC6040集群以欺骗客户支持员工著称——他们通过电话冒充技术支持人员,诱导思科员工通过OAuth令牌授权恶意的第三方Salesforce应用程序。
这里有一个致命的细节:一旦OAuth访问被授予,MFA(双重验证)、密码重置和登录监控通通可以被绑过。因为这些令牌是由Salesforce原生签发的,在系统眼里,这就是“合法”访问。
社会工程学才是最高级的黑客技术——一个电话,一句“我是技术支持的”,足以让防御森严的企业壁垒从内部瓦解。
2.2 第二步:AuraInspector自动化漏洞扫描
拿到OAuth访问权限后,攻击者并没有止步于一个普通的Salesforce账户。
2026年3月,ShinyHunters使用了一款名为AuraInspector的开源工具,自动化扫描Salesforce Experience Cloud(Aura)中配置错误的“访客访问权限”。这个工具能够大规模扫描目标企业的Salesforce环境,快速定位那些被错误配置的访客用户访问控制——换句话说,就是找到那些本不该对外开放却敞开了大门的接口。
据报道,ShinyHunters正是在这一波扫描中,成功渗透了300至400家配置不当的Salesforce环境。
2.3 第三步:云端横向移动
获得Salesforce访问权后,攻击者进入了横向移动阶段。
在后续阶段(归属为UNC6395),攻击者将被窃取的令牌进一步武器化,用于提取各种机密凭据:
- AWS访问密钥
- 密码
- Snowflake令牌
有了这些凭证,思科的云端世界彻底向他们敞开——AWS S3存储桶、GitHub代码仓库,一切尽在掌握。
三、事件历史关联:同一个坑摔了三次?
如果要评选“最不长记性的企业”,思科绝对榜上有名。这次的ShinyHunters攻击,并不是他们第一次“栽在这个坑里”。
2024年10月:IntelBroker事件
2024年10月,黑客IntelBroker声称从思科的公共面向DevHub环境下载了4.5 TB的数据,包括:
- 源代码
- 硬编码凭据
- API令牌
- AWS私有存储桶
事后思科承认,虽然其核心系统未被攻破,但某些本应保持私有的文件因配置错误而被意外暴露。DevHub配置错误——一个低级但致命的问题。
2025年8月:CRM语音钓鱼事件
2025年8月,思科披露了另一起独立的CRM数据泄露事件,同样通过语音钓鱼攻击实现。事后调查发现,攻击者与ShinyHunters组织存在关联。
2026年3-4月:本次事件
而今,ShinyHunters卷土重来,这次的攻击显然是之前漏洞的升级版或关联渗透。
讽刺的是:2025年8月的语音钓鱼事件才过去不到一年,思科的员工竟然再次倒在了同一种社会工程学攻击手法之下。这暴露了一个残酷现实——大型企业在清理第三方应用授权(OAuth)方面存在长期的安全盲区。
条条大路通shell。攻击者从不缺入口,缺的是防御者的警觉。
四、影响评估:为何这次事件如此敏感?
4.1 上升为“国家安全”问题
泄露数据中包含FBI、DHS、NASA等美国核心政府机构的人员信息——这意味着此事件已从单纯的商业勒索上升为潜在的国家安全威胁。
想象一下:如果这些数据落入敌对国家情报机构手中,会发生什么?针对性的鱼叉式钓鱼攻击、渗透特定官员的社会工程学、乃至更复杂的供应链攻击……后果不堪设想。
4.2 供应链风险
更令人不安的是源代码泄露的可能性。
如果思科的源代码被公开,全球数百万台运行思科系统的设备可能面临新的零日漏洞风险。攻击者可以分析源代码寻找未发现的漏洞,而这些漏洞的补丁——可能永远都不会及时发布。
这是典型的供应链攻击链:供应商沦陷,下游所有客户全部暴露。
五、安全建议
针对ShinyHunters风格的攻击,以下是关键防御建议:
5.1 立即审查OAuth授权
- 清理企业Salesforce环境中不明来源的第三方插件
- 撤销所有未被识别的OAuth令牌
- 定期审计已授权的应用程序
5.2 监控API活动
- 警惕Salesforce Data Loader的异常导出行为
- 部署针对API调用的异常检测告警
5.3 防范Vishing
- 加强员工针对电话诱导授权的专项培训
- 建立严格的内部验证流程,任何通过电话获取的授权请求必须二次确认
- 在全公司范围内推广“零信任”电话验证机制
5.4 加强云环境访问控制
- 对AWS IAM角色实施最小权限原则
- 定期轮换访问密钥和令牌
- 启用云环境的详细审计日志
六、结语
距离黑客设定的最后期限(2026年4月3日)已不到24小时,全球安全界正屏息以待,观察这家网络巨头将如何应对这场迫在眉睫的灾难。
讽刺的现实是:2024年10月IntelBroker的攻击仿佛昨日重现,2025年8月的语音钓鱼事件殷鉴不远,而2026年的今天,思科再次倒在了同样的攻击模式下。
漏洞只是症状,对安全的漠视才是病根。
截至目前,思科尚未对此事发布正式回应。我们将持续关注事态发展。
(本文参考资料来源:CybersecurityNews、Resecurity威胁情报报告、安全研究员Dominic Alvieri)
暂无评论内容