Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.
MITRE, yleisesti tunnettujen kyberhyökkäystekniikoiden ATT&CK-sanaston hoitaja, kesti aiemmin 15 vuotta ilman suuria tapauksia. Putki katkesi tammikuussa, kun mm niin monet muut järjestöt, its Ivanti gateway devices were exploited.
Rikkomus koski NERVEä, luokittelematonta yhteistyöverkostoa, jota organisaatio käyttää tutkimukseen, kehitykseen ja prototyyppien tekemiseen. HERMOvaurion laajuutta (tarkoitettu sanasana) arvioidaan parhaillaan.
Dark Reading otti yhteyttä MITERiin vahvistaakseen hyökkäyksen aikajanan ja yksityiskohdat. MITRE ei antanut lisäselvityksiä.
MITRE:n ATT&CK
Pysähdy, jos olet kuullut tämän aiemmin: Tammikuussa alkuperäisen tiedustelujakson jälkeen uhkatoimija käytti hyväksi yhtä yrityksen virtuaalista yksityisverkkoa (VPN) kaksi Ivanti Connect Secure nollapäivän haavoittuvuutta (ATT&CK-tekniikka T1190, Exploit Public-Facing Applications).
Mukaan blogi MITRE:n uhkatietokeskuksen keskuksesta hyökkääjät ohittivat järjestelmää suojaavan monitekijätodennuksen (MFA) jollain istuntokaappauksella (MITRE ATT&CK T1563, Remote Service Session Hijacking).
He yrittivät hyödyntää useita erilaisia etäpalveluita (T1021, Remote Services), mukaan lukien Remote Desktop Protocol (RDP) ja Secure Shell (SSH), päästäkseen kelvolliseen järjestelmänvalvojan tiliin (T1078, Valid Accounts). Sen avulla he kääntyivät ja "kaivoivat syvälle" verkon VMware-virtualisointiinfrastruktuuriin.
Siellä he ottivat käyttöön web-komentotuloksia (T1505.003, palvelinohjelmistokomponentti: Web Shell) pysyvyyden vuoksi ja takaovia komentojen suorittamiseen (T1059, komento- ja komentosarjatulkki) ja valtuustietojen varastamiseen, suodattaen kaikki varastetut tiedot komento- ja ohjauspalvelimelle. (T1041, Exfiltration Over C2 Channel). Piilottaakseen tämän toiminnon ryhmä loi omia virtuaalisia ilmentymiä ajettavaksi ympäristössä (T1564.006, Piilota artefaktit: Suorita virtuaalinen ilmentymä).
MITRE:n puolustus
"Tämän kyberhyökkäyksen vaikutuksia ei pidä ottaa kevyesti", sanoo Darren Guccione, Keeper Securityn toimitusjohtaja ja perustaja. Hän korostaa "sekä hyökkääjien ulkomaisia siteitä että hyökkääjien kykyä hyödyntää kahta vakavaa nollapäivän haavoittuvuutta. heidän pyrkimystään vaarantaa MITRE:n NERVE, mikä saattaa paljastaa arkaluontoisia tutkimustietoja ja immateriaalioikeuksia."
Hän väittää: "Kansavaltion toimijoilla on usein strategisia motiiveja kybertoimintojensa takana, ja MITRE:n kaltaisen merkittävän tutkimuslaitoksen kohdistaminen, joka toimii Yhdysvaltain hallituksen puolesta, voisi olla vain yksi osa suurempaa työtä."
Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.
"MITRE noudatti parhaita käytäntöjä, myyjän ohjeita ja hallituksen neuvoja päivitä, vaihda ja koveta Ivanti-järjestelmämme”, organisaatio kirjoitti Mediumille, ”mutta emme havainneet sivusuuntaista liikettä VMware-infrastruktuuriimme. Tuolloin uskoimme, että teimme kaikki tarvittavat toimet haavoittuvuuden lieventämiseksi, mutta nämä toimet olivat selvästi riittämättömiä"
Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
