Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.
MITRE, responsable du glossaire omniprésent ATT&CK des techniques de cyberattaque communément connues, a déjà connu 15 ans sans incident majeur. La séquence s'est interrompue en janvier lorsque, comme tant d'autres organisations, its Ivanti gateway devices were exploited.
La violation a affecté l'environnement d'expérimentation, de recherche et de virtualisation en réseau (NERVE), un réseau collaboratif non classifié que l'organisation utilise pour la recherche, le développement et le prototypage. L’étendue des dommages causés au NERVE (jeu de mots) est actuellement en cours d’évaluation.
Dark Reading a contacté MITRE pour confirmer la chronologie et les détails de l'attaque. MITRE n’a pas fourni de précisions supplémentaires.
ATT&CK de MITRE
Arrêtez-moi si vous avez déjà entendu ceci : en janvier, après une première période de reconnaissance, un acteur malveillant a exploité l'un des réseaux privés virtuels (VPN) de l'entreprise via deux vulnérabilités Zero Day d'Ivanti Connect Secure (Technique ATT&CK T1190, Exploiter les applications publiques).
D’après une blog récents du Center for Threat-Informed Defense de MITRE, les attaquants ont contourné l'authentification multifacteur (MFA) protégeant le système avec un certain détournement de session (MITRE ATT&CK T1563, Remote Service Session Hijacking).
Ils ont tenté d'exploiter plusieurs services distants différents (T1021, Remote Services), notamment le Remote Desktop Protocol (RDP) et Secure Shell (SSH), pour accéder à un compte administrateur valide (T1078, Valid Accounts). Grâce à cela, ils ont pivoté et « creusé en profondeur » dans l'infrastructure de virtualisation VMware du réseau.
Là, ils ont déployé des shells Web (T1505.003, composant logiciel serveur : Web Shell) pour la persistance, ainsi que des portes dérobées pour exécuter des commandes (T1059, Command and Scripting Interpreter) et voler des informations d'identification, en exfiltrant toutes les données volées vers un serveur de commande et de contrôle. (T1041, Exfiltration sur canal C2). Pour masquer cette activité, le groupe a créé ses propres instances virtuelles à exécuter dans l'environnement (T1564.006, Masquer les artefacts : exécuter une instance virtuelle).
La défense de MITRE
« L'impact de cette cyberattaque ne doit pas être pris à la légère », déclare Darren Guccione, PDG et co-fondateur de Keeper Security, soulignant « à la fois les liens étrangers des attaquants et la capacité des attaquants à exploiter deux graves vulnérabilités du jour zéro dans leur quête pour compromettre le NERVE de MITRE, ce qui pourrait potentiellement exposer des données de recherche sensibles et la propriété intellectuelle.
Il affirme : « Les acteurs étatiques ont souvent des motivations stratégiques derrière leurs cyberopérations, et le ciblage d’une institution de recherche de premier plan comme le MITRE, qui travaille pour le compte du gouvernement américain, pourrait n’être qu’un élément d’un effort plus vaste. »
Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.
« MITRE a suivi les meilleures pratiques, les instructions du fournisseur et les conseils du gouvernement pour mettre à niveau, remplacer et renforcer notre système Ivanti", a écrit l'organisation sur Medium, " mais nous n'avons pas détecté le mouvement latéral dans notre infrastructure VMware. À l'époque, nous pensions avoir pris toutes les mesures nécessaires pour atténuer la vulnérabilité, mais ces actions étaient clairement insuffisantes. »
Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
