Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.
MITRE, üldtuntud küberrünnakutehnikate sõnastiku ATT&CK juht, kestis varem 15 aastat ilma suuremate vahejuhtumiteta. Seeria katkes jaanuaris, kui nagu nii palju teisi organisatsioone, its Ivanti gateway devices were exploited.
Rikkumine mõjutas võrgustatud eksperimenteerimis-, uurimis- ja virtualiseerimiskeskkonda (NERVE), mis on klassifitseerimata koostöövõrgustik, mida organisatsioon kasutab uurimis-, arendus- ja prototüüpimiseks. NÄRVI kahjustuse ulatust (sõnamäng on mõeldud) praegu hinnatakse.
Dark Reading võttis ühendust MITERiga, et kinnitada rünnaku ajaskaala ja üksikasjad. MITER rohkem selgitusi ei andnud.
MITRE ATT&CK
Lõpetage mind, kui olete seda varem kuulnud: jaanuaris, pärast esialgset tutvumisperioodi, kasutas ohus osaleja ühte ettevõtte virtuaalset privaatvõrku (VPN) kaks Ivanti Connecti turvalist nullpäeva turvaauku (ATT&CK tehnika T1190, avalike rakenduste kasutamine).
Vastavalt blogi postitus MITRE ohuteadliku kaitse keskusest möödusid ründajad mitmefaktorilisest autentimisest (MFA), mis kaitses süsteemi mõne seansikaaperdamisega (MITRE ATT&CK T1563, Remote Service Session Hijacking).
Nad püüdsid kasutada mitut erinevat kaugteenust (T1021, kaugteenused), sealhulgas kaugtöölaua protokolli (RDP) ja Secure Shelli (SSH), et saada juurdepääs kehtivale administraatorikontole (T1078, kehtivad kontod). Sellega nad pöördusid ja "kaevasid sügavale" võrgu VMware virtualiseerimise infrastruktuuri.
Seal juurutasid nad püsivuse tagamiseks veebikestad (T1505.003, serveritarkvara komponent: veebikest) ja tagauksed käskude (T1059, käsu- ja skriptitõlk) käitamiseks ja mandaatide varastamiseks, eksfiltreerides kõik varastatud andmed käsu- ja juhtimisserverisse. (T1041, Exfiltration Over C2 Channel). Selle tegevuse peitmiseks lõi rühm oma virtuaalsed eksemplarid keskkonnas käitamiseks (T1564.006, Peida artefaktid: käivita virtuaalne eksemplar).
MITRE kaitse
"Selle küberrünnaku mõju ei tohiks võtta kergekäeliselt," ütleb Keeper Security tegevjuht ja kaasasutaja Darren Guccione, rõhutades "nii ründajate välissidemeid kui ka ründajate võimet kasutada ära kaht tõsist nullpäeva turvaauku. nende püüdlused ohustada MITRE NERVE, mis võib potentsiaalselt paljastada tundlikke uurimisandmeid ja intellektuaalomandit.
Ta väidab: "Rahvusriikide osalejatel on küberoperatsioonide taga sageli strateegiline motivatsioon ja USA valitsuse nimel töötava silmapaistva uurimisasutuse, nagu MITRE, sihtimine võib olla vaid üks suuremate jõupingutuste komponent."
Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.
„MITRE järgis parimaid tavasid, müüja juhiseid ja valitsuse nõuandeid uuendada, asendada ja tugevdada meie Ivanti süsteemi,“ kirjutas organisatsioon Mediumis, „kuid me ei tuvastanud külgsuunalist liikumist meie VMware infrastruktuuri. Sel ajal uskusime, et võtsime haavatavuse leevendamiseks kõik vajalikud meetmed, kuid need tegevused olid selgelt ebapiisavad. "
Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
