Generatywna analiza danych

Bezpieczeństwo cybernetyczne

MITER ATT&CKED: Najbardziej zaufana nazwa InfoSec należy do Ivanti Bugs

Opublikowane przez Platona
Opublikowane przez Platona

Data:

Odwiedzin: 0

Hakerzy z zagranicy wykorzystali podatne na ataki urządzenia brzegowe Ivanti, aby uzyskać trzymiesięczny „głęboki” dostęp do jednej z niesklasyfikowanych sieci MITER Corp.

MITRE, administrator wszechobecnego glosariusza ATT&CK zawierającego powszechnie znane techniki cyberataków, wcześniej przez 15 lat nie zdarzył się żaden poważny incydent. Dobra passa została przerwana w styczniu, kiedy np tyle innych organizacjidoszło do wykorzystania urządzeń bramowych Ivanti.

Naruszenie dotknęło sieciowe środowisko eksperymentów, badań i wirtualizacji (NERVE), niesklasyfikowaną sieć współpracy, której organizacja używa do badań, rozwoju i tworzenia prototypów. Obecnie oceniany jest stopień uszkodzenia NERWU (gra słów zamierzona).

Dark Reading skontaktowało się z MITER, aby potwierdzić harmonogram i szczegóły ataku. MITER nie przedstawił dalszych wyjaśnień.

ATT&CK firmy MITRE

Zatrzymaj mnie, jeśli słyszałeś już to: w styczniu, po wstępnym rozpoznaniu, ugrupowanie zagrażające wykorzystało jedną z wirtualnych sieci prywatnych (VPN) firmy poprzez dwie luki typu zero-day w Ivanti Connect Secure (Technika ATT&CK T1190, wykorzystanie aplikacji publicznych).

Według blogu z Centrum Obrony Informowanej o Zagrożeniach MITRE napastnicy ominęli uwierzytelnianie wieloskładnikowe (MFA) chroniące system, dokonując przejęcia sesji (MITRE ATT&CK T1563, przejmowanie sesji usług zdalnych).

Próbowali wykorzystać kilka różnych usług zdalnych (T1021, usługi zdalne), w tym protokół pulpitu zdalnego (RDP) i Secure Shell (SSH), aby uzyskać dostęp do ważnego konta administratora (T1078, ważne konta). Dzięki niemu dokonali zwrotu i „wkopali się głęboko” w infrastrukturę wirtualizacji sieci VMware.

Tam wdrożyli powłoki internetowe (T1505.003, komponent oprogramowania serwera: Web Shell) w celu zapewnienia trwałości oraz backdoory umożliwiające uruchamianie poleceń (T1059, interpreter poleceń i skryptów) oraz kradzież danych uwierzytelniających, eksfiltrując wszelkie skradzione dane na serwer dowodzenia i kontroli (T1041, eksfiltracja przez kanał C2). Aby ukryć tę aktywność, grupa stworzyła własne instancje wirtualne do uruchomienia w środowisku (T1564.006, Ukryj artefakty: Uruchom instancję wirtualną).

Obrona MITRE

„Nie należy lekceważyć skutków tego cyberataku” – mówi Darren Guccione, dyrektor generalny i współzałożyciel Keeper Security, podkreślając „zarówno zagraniczne powiązania atakujących, jak i zdolność atakujących do wykorzystania dwóch poważnych luk dnia zerowego w zabezpieczeniach ich dążenie do skompromitowania NERVE MITRE, co mogłoby potencjalnie ujawnić wrażliwe dane badawcze i własność intelektualną.”

Jego zdaniem: „Podmioty z państw narodowych często kierują się strategicznymi motywacjami za swoimi operacjami cybernetycznymi, a obranie za cel tak prominentnej instytucji badawczej, jak MITRE, która działa w imieniu rządu USA, może być tylko jednym z elementów większego wysiłku”.

Jakiekolwiek były jego cele, hakerzy mieli wystarczająco dużo czasu, aby je zrealizować. Chociaż kompromis nastąpił w styczniu, MITER był w stanie go wykryć dopiero w kwietniu, pozostawiając pomiędzy nimi ćwierćroczną przerwę.

„MITRE postępowała zgodnie z najlepszymi praktykami, instrukcjami dostawców i radami rządu modernizuj, wymieniaj i wzmacniaj nasz system Ivanti” – napisała organizacja na Medium, „ale nie wykryliśmy bocznego ruchu do naszej infrastruktury VMware. W tamtym czasie wierzyliśmy, że podjęliśmy wszystkie niezbędne działania, aby złagodzić tę lukę, ale działania te były wyraźnie niewystarczające".

Nota wydawcy: We wcześniejszej wersji tej historii ataki przypisywano UNC5221. W chwili obecnej nie dokonano takiego przypisania.

spot_img

Najnowsza inteligencja

spot_img

Prawa autorskie @ 2024 Plato Technologies Inc.

Czat z nami

Cześć! Jak mogę ci pomóc?