Erlendir þjóðríkis tölvuþrjótar hafa notað viðkvæm Ivanti brún tæki til að fá þriggja mánaða „djúpan“ aðgang að einu af óflokkuðu netkerfum MITER Corp.

MITRE, umsjónarmaður alls staðar nálægs ATT&CK orðasafns yfir almennt þekkta netárásartækni, gekk áður í 15 ár án þess að hafa stóratvik. Röndin sleit í janúar þegar td svo mörg önnur samtök, Ivanti gáttartæki þess voru nýtt.

Brotið hafði áhrif á Networked Experimentation, Research, and Virtualization Environment (NERVE), óflokkað, samstarfsnet sem stofnunin notar til rannsókna, þróunar og frumgerða. Nú er verið að meta umfang taugaskemmdanna (orðaleikur ætlaður).

Dark Reading náði til MITER til að staðfesta tímalínuna og upplýsingar um árásina. MITER gaf ekki frekari skýringar.

MITRE's ATT&CK

Hættu mér ef þú hefur heyrt þetta áður: Í janúar, eftir fyrsta könnunartímabil, nýtti ógnarleikari eitt af sýndar einkanetum fyrirtækisins (VPN) í gegnum tveir Ivanti Connect Secure zero-day varnarleysi (ATT&CK tækni T1190, nýta forrit sem snúa að almenningi).

Samkvæmt a blogg frá MITRE Center for Threat-Informed Defense, fóru árásarmennirnir framhjá fjölþátta auðkenningunni (MFA) sem verndar kerfið með einhverjum loturæningum (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Þeir reyndu að nýta nokkrar mismunandi fjarþjónustur (T1021, Remote Services), þar á meðal Remote Desktop Protocol (RDP) og Secure Shell (SSH), til að fá aðgang að gildum stjórnandareikningi (T1078, Gildir reikningar). Með því snerust þeir og „grófu djúpt“ inn í VMware sýndarvæðingarinnviði netsins.

Þar settu þeir upp vefskeljar (T1505.003, hugbúnaðarhluti miðlara: vefskel) til að þrauka, og bakdyr til að keyra skipanir (T1059, skipana- og forskriftatúlkur) og stela skilríkjum, og þrýsta öllum stolnum gögnum yfir á stjórn- og stjórnunarþjón. (T1041, Exfiltration Over C2 Channel). Til að fela þessa virkni bjó hópurinn til sín eigin sýndartilvik til að keyra innan umhverfisins (T1564.006, Hide Artifacts: Run Virtual Instance).

Vörn MITRE

„Ekki ætti að taka létt á áhrifum þessarar netárásar,“ segir Darren Guccione, forstjóri og annar stofnandi hjá Keeper Security, og leggur áherslu á „bæði erlend tengsl árásarmannanna og getu árásarmannanna til að nýta sér tvo alvarlega núlldaga veikleika í leit þeirra til að koma í veg fyrir TAUG MITRE, sem gæti hugsanlega afhjúpað viðkvæm rannsóknargögn og hugverk.“

Hann heldur því fram, "Þjóðríkisaðilar hafa oft stefnumótandi hvata á bak við netstarfsemi sína og miðun á áberandi rannsóknarstofnun eins og MITRE, sem starfar fyrir hönd bandarískra stjórnvalda, gæti verið aðeins einn þáttur í stærra átaki."

Hver sem markmið þess voru, höfðu tölvuþrjótarnir nægan tíma til að framkvæma þau. Þrátt fyrir að málamiðlunin hafi átt sér stað í janúar gat MITER aðeins greint hana í apríl og skildi eftir ársfjórðungsbil á milli.

„MITRE fylgdi bestu starfsvenjum, leiðbeiningum söluaðila og ráðleggingum stjórnvalda til uppfæra, skipta um og herða Ivanti kerfið okkar, "skrifuðu samtökin á Medium, "en við fundum ekki hliðarhreyfingu inn í VMware innviði okkar. Á þeim tíma trúðum við að við hefðum gripið til allra nauðsynlegra aðgerða til að draga úr varnarleysinu, en þessar aðgerðir voru greinilega ófullnægjandi. "

Athugasemd ritstjóra: Fyrri útgáfa sögunnar rakti árásirnar til UNC5221. Sú úthlutun hefur ekki verið gerð að svo stöddu.

• SEO knúið efni og PR dreifing. Fáðu magnara í dag.
• PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
• PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
• PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
• PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
• Heimild: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs