Hakerzy z zagranicy wykorzystali podatne na ataki urządzenia brzegowe Ivanti, aby uzyskać trzymiesięczny „głęboki” dostęp do jednej z niesklasyfikowanych sieci MITER Corp.
MITRE, administrator wszechobecnego glosariusza ATT&CK zawierającego powszechnie znane techniki cyberataków, wcześniej przez 15 lat nie zdarzył się żaden poważny incydent. Dobra passa została przerwana w styczniu, kiedy np tyle innych organizacjidoszło do wykorzystania urządzeń bramowych Ivanti.
Naruszenie dotknęło sieciowe środowisko eksperymentów, badań i wirtualizacji (NERVE), niesklasyfikowaną sieć współpracy, której organizacja używa do badań, rozwoju i tworzenia prototypów. Obecnie oceniany jest stopień uszkodzenia NERWU (gra słów zamierzona).
Dark Reading skontaktowało się z MITER, aby potwierdzić harmonogram i szczegóły ataku. MITER nie przedstawił dalszych wyjaśnień.
ATT&CK firmy MITRE
Zatrzymaj mnie, jeśli słyszałeś już to: w styczniu, po wstępnym rozpoznaniu, ugrupowanie zagrażające wykorzystało jedną z wirtualnych sieci prywatnych (VPN) firmy poprzez dwie luki typu zero-day w Ivanti Connect Secure (Technika ATT&CK T1190, wykorzystanie aplikacji publicznych).
Według blogu z Centrum Obrony Informowanej o Zagrożeniach MITRE napastnicy ominęli uwierzytelnianie wieloskładnikowe (MFA) chroniące system, dokonując przejęcia sesji (MITRE ATT&CK T1563, przejmowanie sesji usług zdalnych).
Próbowali wykorzystać kilka różnych usług zdalnych (T1021, usługi zdalne), w tym protokół pulpitu zdalnego (RDP) i Secure Shell (SSH), aby uzyskać dostęp do ważnego konta administratora (T1078, ważne konta). Dzięki niemu dokonali zwrotu i „wkopali się głęboko” w infrastrukturę wirtualizacji sieci VMware.
Tam wdrożyli powłoki internetowe (T1505.003, komponent oprogramowania serwera: Web Shell) w celu zapewnienia trwałości oraz backdoory umożliwiające uruchamianie poleceń (T1059, interpreter poleceń i skryptów) oraz kradzież danych uwierzytelniających, eksfiltrując wszelkie skradzione dane na serwer dowodzenia i kontroli (T1041, eksfiltracja przez kanał C2). Aby ukryć tę aktywność, grupa stworzyła własne instancje wirtualne do uruchomienia w środowisku (T1564.006, Ukryj artefakty: Uruchom instancję wirtualną).
Obrona MITRE
„Nie należy lekceważyć skutków tego cyberataku” – mówi Darren Guccione, dyrektor generalny i współzałożyciel Keeper Security, podkreślając „zarówno zagraniczne powiązania atakujących, jak i zdolność atakujących do wykorzystania dwóch poważnych luk dnia zerowego w zabezpieczeniach ich dążenie do skompromitowania NERVE MITRE, co mogłoby potencjalnie ujawnić wrażliwe dane badawcze i własność intelektualną.”
Jego zdaniem: „Podmioty z państw narodowych często kierują się strategicznymi motywacjami za swoimi operacjami cybernetycznymi, a obranie za cel tak prominentnej instytucji badawczej, jak MITRE, która działa w imieniu rządu USA, może być tylko jednym z elementów większego wysiłku”.
Jakiekolwiek były jego cele, hakerzy mieli wystarczająco dużo czasu, aby je zrealizować. Chociaż kompromis nastąpił w styczniu, MITER był w stanie go wykryć dopiero w kwietniu, pozostawiając pomiędzy nimi ćwierćroczną przerwę.
„MITRE postępowała zgodnie z najlepszymi praktykami, instrukcjami dostawców i radami rządu modernizuj, wymieniaj i wzmacniaj nasz system Ivanti” – napisała organizacja na Medium, „ale nie wykryliśmy bocznego ruchu do naszej infrastruktury VMware. W tamtym czasie wierzyliśmy, że podjęliśmy wszystkie niezbędne działania, aby złagodzić tę lukę, ale działania te były wyraźnie niewystarczające".
Nota wydawcy: We wcześniejszej wersji tej historii ataki przypisywano UNC5221. W chwili obecnej nie dokonano takiego przypisania.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs