Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.
MITRE, ਆਮ ਤੌਰ 'ਤੇ ਜਾਣੀਆਂ ਜਾਣ ਵਾਲੀਆਂ ਸਾਈਬਰ ਅਟੈਕ ਤਕਨੀਕਾਂ ਦੀ ਸਰਵ-ਵਿਆਪਕ ATT&CK ਸ਼ਬਦਾਵਲੀ ਦਾ ਮੁਖਤਿਆਰ, ਪਹਿਲਾਂ ਬਿਨਾਂ ਕਿਸੇ ਵੱਡੀ ਘਟਨਾ ਦੇ 15 ਸਾਲ ਚਲਾ ਗਿਆ। ਸਟ੍ਰੀਕ ਜਨਵਰੀ ਵਿੱਚ ਟੁੱਟ ਗਈ ਜਦੋਂ, ਜਿਵੇਂ ਹੋਰ ਬਹੁਤ ਸਾਰੀਆਂ ਸੰਸਥਾਵਾਂ, its Ivanti gateway devices were exploited.
ਇਸ ਉਲੰਘਣਾ ਨੇ ਨੈੱਟਵਰਕਡ ਪ੍ਰਯੋਗ, ਖੋਜ, ਅਤੇ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਵਾਤਾਵਰਨ (NERVE) ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ, ਇੱਕ ਗੈਰ-ਵਰਗੀਕ੍ਰਿਤ, ਸਹਿਯੋਗੀ ਨੈੱਟਵਰਕ ਜੋ ਸੰਸਥਾ ਖੋਜ, ਵਿਕਾਸ, ਅਤੇ ਪ੍ਰੋਟੋਟਾਈਪਿੰਗ ਲਈ ਵਰਤਦਾ ਹੈ। ਨਰਵ ਦੇ ਨੁਕਸਾਨ ਦੀ ਹੱਦ (ਪੰਨ ਇਰਾਦਾ) ਵਰਤਮਾਨ ਵਿੱਚ ਮੁਲਾਂਕਣ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ।
ਹਮਲੇ ਦੀ ਟਾਈਮਲਾਈਨ ਅਤੇ ਵੇਰਵਿਆਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਡਾਰਕ ਰੀਡਿੰਗ ਨੇ MITER ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ। MITER ਨੇ ਹੋਰ ਸਪੱਸ਼ਟੀਕਰਨ ਪ੍ਰਦਾਨ ਨਹੀਂ ਕੀਤਾ।
MITRE ਦਾ ATT&CK
ਮੈਨੂੰ ਰੋਕੋ ਜੇਕਰ ਤੁਸੀਂ ਇਹ ਪਹਿਲਾਂ ਸੁਣਿਆ ਹੈ: ਜਨਵਰੀ ਵਿੱਚ, ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਖੋਜ ਦੀ ਮਿਆਦ ਦੇ ਬਾਅਦ, ਇੱਕ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨੇ ਕੰਪਨੀ ਦੇ ਇੱਕ ਵਰਚੁਅਲ ਪ੍ਰਾਈਵੇਟ ਨੈਟਵਰਕ (VPNs) ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਦੋ ਇਵੰਤੀ ਕਨੈਕਟ ਸੁਰੱਖਿਅਤ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀਆਂ (ATT&CK ਤਕਨੀਕ T1190, ਸ਼ੋਸ਼ਣ ਪਬਲਿਕ-ਫੇਸਿੰਗ ਐਪਲੀਕੇਸ਼ਨ)।
ਨੂੰ ਇੱਕ ਕਰਨ ਲਈ ਦੇ ਅਨੁਸਾਰ ਬਲਾਗ ਪੋਸਟ MITRE ਦੇ ਸੈਂਟਰ ਫਾਰ ਥਰੇਟ-ਇਨਫਾਰਮਡ ਡਿਫੈਂਸ ਤੋਂ, ਹਮਲਾਵਰਾਂ ਨੇ ਮਲਟੀਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (MFA) ਨੂੰ ਬਾਈਪਾਸ ਕਰਕੇ ਸਿਸਟਮ ਨੂੰ ਕੁਝ ਸੈਸ਼ਨ ਹਾਈਜੈਕਿੰਗ (MITRE ATT&CK T1563, ਰਿਮੋਟ ਸਰਵਿਸ ਸੈਸ਼ਨ ਹਾਈਜੈਕਿੰਗ) ਨਾਲ ਸੁਰੱਖਿਅਤ ਕੀਤਾ।
ਉਹਨਾਂ ਨੇ ਇੱਕ ਵੈਧ ਪ੍ਰਸ਼ਾਸਕ ਖਾਤੇ (T1021, ਵੈਧ ਖਾਤੇ) ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰਿਮੋਟ ਡੈਸਕਟਾਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਅਤੇ ਸੁਰੱਖਿਅਤ ਸ਼ੈੱਲ (SSH) ਸਮੇਤ ਕਈ ਵੱਖ-ਵੱਖ ਰਿਮੋਟ ਸੇਵਾਵਾਂ (T1078, ਰਿਮੋਟ ਸੇਵਾਵਾਂ) ਦਾ ਲਾਭ ਉਠਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ। ਇਸਦੇ ਨਾਲ, ਉਹਨਾਂ ਨੇ ਨੈੱਟਵਰਕ ਦੇ VMware ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਧਰੁਵ ਕੀਤਾ ਅਤੇ "ਡੂੰਘੀ ਖੋਦਾਈ" ਕੀਤੀ।
ਉੱਥੇ, ਉਹਨਾਂ ਨੇ ਨਿਰੰਤਰਤਾ ਲਈ ਵੈੱਬ ਸ਼ੈੱਲ (T1505.003, ਸਰਵਰ ਸੌਫਟਵੇਅਰ ਕੰਪੋਨੈਂਟ: ਵੈੱਬ ਸ਼ੈੱਲ) ਤਾਇਨਾਤ ਕੀਤੇ, ਅਤੇ ਕਮਾਂਡਾਂ (T1059, ਕਮਾਂਡ ਅਤੇ ਸਕ੍ਰਿਪਟਿੰਗ ਇੰਟਰਪ੍ਰੇਟਰ) ਨੂੰ ਚਲਾਉਣ ਲਈ ਅਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ ਕਰਨ ਲਈ, ਕਿਸੇ ਵੀ ਚੋਰੀ ਹੋਏ ਡੇਟਾ ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨੂੰ ਐਕਸਫੀਲਟਰ ਕਰਨ ਲਈ ਬੈਕਡੋਰ। (T1041, ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਓਵਰ C2 ਚੈਨਲ)। ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਛੁਪਾਉਣ ਲਈ, ਸਮੂਹ ਨੇ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਚੱਲਣ ਲਈ ਆਪਣੀਆਂ ਵਰਚੁਅਲ ਉਦਾਹਰਣਾਂ ਬਣਾਈਆਂ (T1564.006, ਕਲਾਤਮਕ ਚੀਜ਼ਾਂ ਲੁਕਾਓ: ਵਰਚੁਅਲ ਇੰਸਟੈਂਸ ਚਲਾਓ)।
MITRE ਦੀ ਰੱਖਿਆ
ਕੀਪਰ ਸਕਿਓਰਿਟੀ ਦੇ ਸੀਈਓ ਅਤੇ ਸਹਿ-ਸੰਸਥਾਪਕ ਡੈਰੇਨ ਗੁਸੀਓਨ ਨੇ ਕਿਹਾ, "ਇਸ ਸਾਈਬਰ ਹਮਲੇ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਹਲਕੇ ਵਿੱਚ ਨਹੀਂ ਲਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ," ਹਮਲਾਵਰਾਂ ਦੇ ਵਿਦੇਸ਼ੀ ਸਬੰਧਾਂ ਅਤੇ ਹਮਲਾਵਰਾਂ ਦੀ ਦੋ ਗੰਭੀਰ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹੋਏ। MITRE ਦੇ ਨਰਵ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਉਹਨਾਂ ਦੀ ਕੋਸ਼ਿਸ਼, ਜੋ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਖੋਜ ਡੇਟਾ ਅਤੇ ਬੌਧਿਕ ਸੰਪੱਤੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰ ਸਕਦੀ ਹੈ।
ਉਹ ਕਹਿੰਦਾ ਹੈ, "ਰਾਸ਼ਟਰ-ਰਾਜ ਦੇ ਅਦਾਕਾਰਾਂ ਦੇ ਅਕਸਰ ਉਹਨਾਂ ਦੇ ਸਾਈਬਰ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਪਿੱਛੇ ਰਣਨੀਤਕ ਪ੍ਰੇਰਣਾ ਹੁੰਦੀ ਹੈ, ਅਤੇ MITRE ਵਰਗੀ ਇੱਕ ਪ੍ਰਮੁੱਖ ਖੋਜ ਸੰਸਥਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਜੋ ਅਮਰੀਕੀ ਸਰਕਾਰ ਦੀ ਤਰਫੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਇੱਕ ਵੱਡੇ ਯਤਨ ਦਾ ਸਿਰਫ ਇੱਕ ਹਿੱਸਾ ਹੋ ਸਕਦਾ ਹੈ।"
Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.
“MITRE ਨੇ ਵਧੀਆ ਅਭਿਆਸਾਂ, ਵਿਕਰੇਤਾ ਨਿਰਦੇਸ਼ਾਂ, ਅਤੇ ਸਰਕਾਰ ਦੀ ਸਲਾਹ ਦੀ ਪਾਲਣਾ ਕੀਤੀ ਸਾਡੇ ਇਵਾਂਟੀ ਸਿਸਟਮ ਨੂੰ ਅਪਗ੍ਰੇਡ ਕਰੋ, ਬਦਲੋ ਅਤੇ ਸਖ਼ਤ ਕਰੋਸੰਗਠਨ ਨੇ ਮੀਡੀਅਮ 'ਤੇ ਲਿਖਿਆ, "ਪਰ ਅਸੀਂ ਆਪਣੇ VMware ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਪਾਸੇ ਦੀ ਗਤੀ ਦਾ ਪਤਾ ਨਹੀਂ ਲਗਾਇਆ। ਉਸ ਸਮੇਂ ਸਾਨੂੰ ਵਿਸ਼ਵਾਸ ਸੀ ਕਿ ਅਸੀਂ ਕਮਜ਼ੋਰੀ ਨੂੰ ਘਟਾਉਣ ਲਈ ਸਾਰੀਆਂ ਲੋੜੀਂਦੀਆਂ ਕਾਰਵਾਈਆਂ ਕੀਤੀਆਂ, ਪਰ ਇਹ ਕਾਰਵਾਈਆਂ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਨਾਕਾਫ਼ੀ ਸਨ. "
Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.
- ਐਸਈਓ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਸਮੱਗਰੀ ਅਤੇ PR ਵੰਡ. ਅੱਜ ਹੀ ਵਧਾਓ।
- PlatoData.Network ਵਰਟੀਕਲ ਜਨਰੇਟਿਵ ਏ.ਆਈ. ਆਪਣੇ ਆਪ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ। ਇੱਥੇ ਪਹੁੰਚ ਕਰੋ।
- ਪਲੈਟੋਏਆਈਸਟ੍ਰੀਮ। Web3 ਇੰਟੈਲੀਜੈਂਸ। ਗਿਆਨ ਵਧਾਇਆ। ਇੱਥੇ ਪਹੁੰਚ ਕਰੋ।
- ਪਲੇਟੋਈਐਸਜੀ. ਕਾਰਬਨ, ਕਲੀਨਟੈਕ, ਊਰਜਾ, ਵਾਤਾਵਰਨ, ਸੂਰਜੀ, ਕੂੜਾ ਕਰਕਟ ਪ੍ਰਬੰਧਨ. ਇੱਥੇ ਪਹੁੰਚ ਕਰੋ।
- ਪਲੈਟੋ ਹੈਲਥ। ਬਾਇਓਟੈਕ ਅਤੇ ਕਲੀਨਿਕਲ ਟਰਾਇਲ ਇੰਟੈਲੀਜੈਂਸ। ਇੱਥੇ ਪਹੁੰਚ ਕਰੋ।
- ਸਰੋਤ: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
