Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.
Ο MITRE, διαχειριστής του απανταχού γλωσσαρίου ATT&CK των κοινώς γνωστών τεχνικών κυβερνοεπιθέσεων, πέρασε στο παρελθόν 15 χρόνια χωρίς ένα σημαντικό περιστατικό. Το σερί έσπασε τον Ιανουάριο όταν, όπως τόσοι άλλοι οργανισμοί, its Ivanti gateway devices were exploited.
Η παραβίαση επηρέασε το Networked Experimentation, Research and Virtualization Environment (NERVE), ένα μη ταξινομημένο, συνεργατικό δίκτυο που χρησιμοποιεί ο οργανισμός για έρευνα, ανάπτυξη και δημιουργία πρωτοτύπων. Η έκταση της βλάβης του ΝΕΥΡΟΥ (λογοπαίγνιο) αξιολογείται επί του παρόντος.
Το Dark Reading επικοινώνησε με το MITER για να επιβεβαιώσει το χρονοδιάγραμμα και τις λεπτομέρειες της επίθεσης. Το MITER δεν έδωσε περαιτέρω διευκρινίσεις.
ATT&CK του MITRE
Σταμάτα αν το έχεις ξανακούσει αυτό: Τον Ιανουάριο, μετά από μια αρχική περίοδο αναγνώρισης, ένας παράγοντας απειλών εκμεταλλεύτηκε ένα από τα εικονικά ιδιωτικά δίκτυα (VPN) της εταιρείας μέσω δύο ευπάθειες του Ivanti Connect Secure zero-day (Τεχνική ATT&CK T1190, Exploit Public-Facing Applications).
Σύμφωνα με ένα ανάρτηση από το Κέντρο Άμυνας Ενημερωμένης από Απειλές του MITRE, οι επιτιθέμενοι παρέκαμψαν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) προστατεύοντας το σύστημα με κάποια πειρατεία συνεδρίας (MITRE ATT&CK T1563, Remote Service Session Hijacking).
Προσπάθησαν να αξιοποιήσουν πολλές διαφορετικές απομακρυσμένες υπηρεσίες (T1021, Απομακρυσμένες Υπηρεσίες), συμπεριλαμβανομένου του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας εργασίας (RDP) και του Secure Shell (SSH), για να αποκτήσουν πρόσβαση σε έναν έγκυρο λογαριασμό διαχειριστή (T1078, Έγκυροι λογαριασμοί). Με αυτό, περιστράφηκαν και «σκάφηκαν βαθιά» στην υποδομή εικονικοποίησης VMware του δικτύου.
Εκεί, ανέπτυξαν κελύφη Ιστού (T1505.003, Στοιχείο Λογισμικού Διακομιστή: Web Shell) για επιμονή και κερκόπορτες για να εκτελούν εντολές (T1059, Command and Scripting Interpreter) και να κλέβουν διαπιστευτήρια, εξάγοντας τυχόν κλεμμένα δεδομένα σε έναν διακομιστή εντολών και ελέγχου (T1041, Exfiltration Over C2 Channel). Για την απόκρυψη αυτής της δραστηριότητας, η ομάδα δημιούργησε τις δικές της εικονικές παρουσίες για εκτέλεση εντός του περιβάλλοντος (T1564.006, Hide Artifacts: Run Virtual Instance).
Η άμυνα του MITRE
«Ο αντίκτυπος αυτής της κυβερνοεπίθεσης δεν πρέπει να ληφθεί σοβαρά υπόψη», λέει ο Darren Guccione, Διευθύνων Σύμβουλος και συνιδρυτής της Keeper Security, τονίζοντας «τόσο τους εξωτερικούς δεσμούς των επιτιθέμενων όσο και την ικανότητα των επιτιθέμενων να εκμεταλλευτούν δύο σοβαρές ευπάθειες zero-day στο Η προσπάθειά τους να θέσουν σε κίνδυνο το ΝΕΥΡΟ του MITRE, το οποίο θα μπορούσε ενδεχομένως να εκθέσει ευαίσθητα ερευνητικά δεδομένα και πνευματική ιδιοκτησία».
Θεωρεί, «Οι φορείς των εθνικών κρατών έχουν συχνά στρατηγικά κίνητρα πίσω από τις δραστηριότητές τους στον κυβερνοχώρο και η στόχευση ενός εξέχοντος ερευνητικού ιδρύματος όπως το MITRE, που εργάζεται για λογαριασμό της κυβέρνησης των ΗΠΑ, θα μπορούσε να είναι μόνο ένα συστατικό μιας μεγαλύτερης προσπάθειας».
Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.
«Η MITRE ακολούθησε τις βέλτιστες πρακτικές, τις οδηγίες των πωλητών και τις συμβουλές της κυβέρνησης αναβαθμίστε, αντικαταστήστε και σκληρύνετε το σύστημα Ivanti», έγραψε ο οργανισμός στο Medium, «αλλά δεν εντοπίσαμε την πλευρική κίνηση στην υποδομή VMware μας. Τότε πιστεύαμε ότι κάναμε όλες τις απαραίτητες ενέργειες για να μετριαστεί η ευπάθεια, αλλά αυτές οι ενέργειες ήταν σαφώς ανεπαρκείς. "
Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
