Utenlandske nasjonalstatshackere har brukt sårbare Ivanti edge-enheter for å få tre måneders "dyp" tilgang til et av MITER Corp.s uklassifiserte nettverk.
MITRE, forvalter av den allestedsnærværende ATT&CK-ordlisten over kjente cyberangrepsteknikker, gikk tidligere i 15 år uten en større hendelse. Streken knakk i januar da, som så mange andre organisasjoner, ble dens Ivanti-gateway-enheter utnyttet.
Bruddet påvirket Networked Experimentation, Research and Virtualization Environment (NERVE), et uklassifisert, samarbeidende nettverk organisasjonen bruker for forskning, utvikling og prototyping. Omfanget av NERVE-skaden (pun intended) vurderes for tiden.
Dark Reading tok kontakt med MITER for å bekrefte tidslinjen og detaljene om angrepet. MITER ga ingen ytterligere avklaring.
MITREs ATT&CK
Stopp meg hvis du har hørt denne før: I januar, etter en innledende rekognoseringsperiode, utnyttet en trusselaktør et av selskapets virtuelle private nettverk (VPN) gjennom to Ivanti Connect Secure zero-day sårbarheter (ATT&CK-teknikk T1190, Exploit Public-Facing Applications).
Ifølge en blogginnlegg fra MITREs Center for Threat-Informed Defense, omgikk angriperne multifaktorautentiseringen (MFA) som beskyttet systemet med noe øktkapring (MITRE ATT&CK T1563, Remote Service Session Hijacking).
De forsøkte å utnytte flere forskjellige eksterne tjenester (T1021, Remote Services), inkludert Remote Desktop Protocol (RDP) og Secure Shell (SSH), for å få tilgang til en gyldig administratorkonto (T1078, Valid Accounts). Med den svingte de og "gravde dypt" inn i nettverkets VMware-virtualiseringsinfrastruktur.
Der distribuerte de web-skall (T1505.003, Server Software Component: Web Shell) for utholdenhet, og bakdører for å kjøre kommandoer (T1059, Command and Scripting Interpreter) og stjele legitimasjon, og eksfiltrerte alle stjålne data til en kommando-og-kontrollserver (T1041, Exfiltration Over C2 Channel). For å skjule denne aktiviteten opprettet gruppen sine egne virtuelle forekomster for å kjøre i miljøet (T1564.006, Hide Artifacts: Run Virtual Instance).
MITREs forsvar
"Konsekvensen av dette nettangrepet bør ikke tas lett på," sier Darren Guccione, administrerende direktør og medgründer i Keeper Security, og fremhever "både angripernes utenlandske bånd og angripernes evne til å utnytte to alvorlige nulldagssårbarheter i deres søken etter å kompromittere MITREs NERVE, som potensielt kan avsløre sensitive forskningsdata og åndsverk.»
Han hevder: "Nasjonalstatlige aktører har ofte strategiske motivasjoner bak deres cyberoperasjoner, og målrettingen av en fremtredende forskningsinstitusjon som MITRE, som jobber på vegne av den amerikanske regjeringen, kan bare være en del av en større innsats."
Uansett hva målene var, hadde hackerne god tid til å gjennomføre dem. Selv om kompromisset skjedde i januar, klarte MITER bare å oppdage det i april, og etterlot seg et kvartals gap i mellom.
"MITRE fulgte beste praksis, leverandørinstruksjoner og myndighetenes råd til oppgradere, erstatte og herde vårt Ivanti-system", skrev organisasjonen på Medium, "men vi oppdaget ikke sidebevegelsen inn i VMware-infrastrukturen vår. På det tidspunktet trodde vi at vi tok alle nødvendige tiltak for å redusere sårbarheten, men disse handlingene var tydeligvis utilstrekkelige».
Redaktørens merknad: En tidligere versjon av historien tilskrev angrepene til UNC5221. Den tilskrivelsen er ikke foretatt på nåværende tidspunkt.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
