Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.
MITRE, आमतौर पर ज्ञात साइबर हमले तकनीकों की सर्वव्यापी ATT&CK शब्दावली के प्रबंधक, पहले 15 वर्षों तक बिना किसी बड़ी घटना के रहे थे। यह सिलसिला जनवरी में टूटा जब, जैसे इतने सारे अन्य संगठन, its Ivanti gateway devices were exploited.
उल्लंघन ने नेटवर्क्ड एक्सपेरिमेंटेशन, रिसर्च और वर्चुअलाइजेशन एनवायरनमेंट (एनईआरवीई) को प्रभावित किया, जो एक अवर्गीकृत, सहयोगी नेटवर्क है जिसका उपयोग संगठन अनुसंधान, विकास और प्रोटोटाइप के लिए करता है। वर्तमान में तंत्रिका क्षति की सीमा का आकलन किया जा रहा है।
डार्क रीडिंग ने हमले की समयसीमा और विवरण की पुष्टि करने के लिए MITER से संपर्क किया। MITER ने और कोई स्पष्टीकरण नहीं दिया।
मित्रे का ATT&CK
अगर आपने यह पहले सुना है तो मुझे रोकें: जनवरी में, प्रारंभिक टोही अवधि के बाद, एक खतरनाक अभिनेता ने कंपनी के वर्चुअल प्राइवेट नेटवर्क (वीपीएन) में से एक का शोषण किया दो इवंती कनेक्ट सुरक्षित शून्य-दिन की कमजोरियाँ (एटीटी एंड सीके तकनीक टी1190, एक्सप्लॉइट पब्लिक-फेसिंग एप्लिकेशन)।
एक के अनुसार ब्लॉग पोस्ट MITRE के सेंटर फॉर थ्रेट-इनफॉर्मेड डिफेंस से, हमलावरों ने कुछ सत्र अपहरण (MITRE ATT&CK T1563, रिमोट सर्विस सत्र अपहरण) के साथ सिस्टम की सुरक्षा करने वाले मल्टीफैक्टर प्रमाणीकरण (MFA) को बायपास कर दिया।
उन्होंने एक वैध प्रशासक खाते (टी1021, वैध खाते) तक पहुंच प्राप्त करने के लिए रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) और सिक्योर शेल (एसएसएच) सहित कई अलग-अलग दूरस्थ सेवाओं (टी1078, रिमोट सर्विसेज) का लाभ उठाने का प्रयास किया। इसके साथ, उन्होंने नेटवर्क के VMware वर्चुअलाइजेशन बुनियादी ढांचे को घुमाया और "गहराई से खोदा"।
वहां, उन्होंने दृढ़ता के लिए वेब शेल्स (T1505.003, सर्वर सॉफ्टवेयर कंपोनेंट: वेब शेल) और कमांड चलाने के लिए बैकडोर (T1059, कमांड और स्क्रिप्टिंग इंटरप्रेटर) तैनात किए और क्रेडेंशियल चुराए, किसी भी चुराए गए डेटा को कमांड-एंड-कंट्रोल सर्वर पर भेज दिया। (टी1041, सी2 चैनल पर निस्पंदन)। इस गतिविधि को छिपाने के लिए, समूह ने पर्यावरण के भीतर चलाने के लिए अपने स्वयं के वर्चुअल इंस्टेंस बनाए (T1564.006, कलाकृतियों को छुपाएं: वर्चुअल इंस्टेंस चलाएं)।
मित्रे की रक्षा
कीपर सिक्योरिटी के सीईओ और सह-संस्थापक डेरेन गुच्चियोन कहते हैं, "इस साइबर हमले के प्रभाव को हल्के में नहीं लिया जाना चाहिए।" उन्होंने "हमलावरों के विदेशी संबंधों और दो गंभीर शून्य-दिन की कमजोरियों का फायदा उठाने की हमलावरों की क्षमता" पर प्रकाश डाला। MITRE के NERVE से समझौता करने की उनकी खोज, जो संभावित रूप से संवेदनशील अनुसंधान डेटा और बौद्धिक संपदा को उजागर कर सकती है।
उनका मानना है, "राष्ट्र-राज्य अभिनेताओं के पास अक्सर अपने साइबर संचालन के पीछे रणनीतिक प्रेरणाएँ होती हैं, और MITRE जैसे प्रमुख शोध संस्थान को निशाना बनाना, जो अमेरिकी सरकार की ओर से काम करता है, एक बड़े प्रयास का सिर्फ एक घटक हो सकता है।"
Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.
“MITRE ने सर्वोत्तम प्रथाओं, विक्रेता निर्देशों और सरकार की सलाह का पालन किया हमारे इवंती सिस्टम को अपग्रेड करें, बदलें और सख्त करें,'' संगठन ने मीडियम पर लिखा, ''लेकिन हमने अपने वीएमवेयर बुनियादी ढांचे में पार्श्व आंदोलन का पता नहीं लगाया। उस समय हमें विश्वास था कि हमने भेद्यता को कम करने के लिए सभी आवश्यक कार्रवाई की है, लेकिन ये कार्रवाइयां स्पष्ट रूप से अपर्याप्त थीं".
Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
