Генеративный анализ данных

Информационная безопасность

MITRE ATT&CKED: имя, которому доверяют больше всего в InfoSec, принадлежит Ivanti Bugs

Переиздано Платоном
Переиздано Платоном

Дата:

Вид: 0

Хакеры из иностранных государств использовали уязвимые периферийные устройства Ivanti, чтобы получить трехмесячный «глубокий» доступ к одной из несекретных сетей MITRE Corp.

MITRE, хранитель вездесущего глоссария ATT&CK, посвященного общеизвестным методам кибератак, ранее в течение 15 лет обходился без серьезных инцидентов. Эта полоса прервалась в январе, когда, например, так много других организаций, его шлюзовые устройства Ivanti были взломаны.

Нарушение затронуло Сетевую среду экспериментирования, исследований и виртуализации (NERVE), несекретную сеть для совместной работы, которую организация использует для исследований, разработок и прототипирования. Степень повреждения НЕРВА (каламбур) в настоящее время оценивается.

Дарк Ридинг связался с MITRE, чтобы подтвердить сроки и детали атаки. MITRE не предоставил дополнительных разъяснений.

ATT&CK MITRE

Остановите меня, если вы слышали это раньше: в январе, после первоначального периода разведки, злоумышленник воспользовался одной из виртуальных частных сетей (VPN) компании через две уязвимости нулевого дня в Ivanti Connect Secure (Техника ATT&CK T1190, Использование общедоступных приложений).

В соответствии с блоге Из Центра защиты с учетом угроз MITRE злоумышленники обошли многофакторную аутентификацию (MFA), защищающую систему, с помощью некоторого перехвата сеанса (MITRE ATT&CK T1563, перехват сеанса удаленного обслуживания).

Они попытались использовать несколько различных удаленных служб (T1021, Удаленные службы), включая протокол удаленного рабочего стола (RDP) и Secure Shell (SSH), чтобы получить доступ к действующей учетной записи администратора (T1078, Действительные учетные записи). С его помощью они развернулись и «углубились» в сетевую инфраструктуру виртуализации VMware.

Там они развернули веб-оболочки (T1505.003, Компонент серверного программного обеспечения: Web Shell) для обеспечения устойчивости и бэкдоры для запуска команд (T1059, Интерпретатор команд и сценариев) и кражи учетных данных, передавая любые украденные данные на сервер управления и контроля. (T1041, Эксфильтрация по каналу C2). Чтобы скрыть это действие, группа создала свои собственные виртуальные экземпляры для запуска в среде (T1564.006, Скрыть артефакты: запуск виртуального экземпляра).

Защита MITRE

«Влияние этой кибератаки не следует воспринимать легкомысленно», — говорит Даррен Гуччионе, генеральный директор и соучредитель Keeper Security, подчеркивая «как зарубежные связи злоумышленников, так и способность злоумышленников использовать две серьезные уязвимости нулевого дня в их стремление скомпрометировать NERVE MITRE, что потенциально может раскрыть конфиденциальные данные исследований и интеллектуальную собственность».

Он утверждает: «Субъекты национальных государств часто имеют стратегические мотивы в своих кибероперациях, и нападение на такое известное исследовательское учреждение, как MITRE, которое работает от имени правительства США, может быть лишь одним из компонентов более масштабных усилий».

Какими бы ни были цели, у хакеров было достаточно времени для их достижения. Хотя компрометация произошла в январе, MITRE смог обнаружить ее только в апреле, оставив между ними перерыв в четверть года.

«MITRE следовала передовым практикам, инструкциям поставщиков и рекомендациям правительства по модернизируйте, замените и укрепите нашу систему Ivanti— написала организация на Medium, — но мы не обнаружили бокового движения в нашу инфраструктуру VMware. На тот момент мы считали, что предприняли все необходимые действия для устранения уязвимости, но этих действий было явно недостаточно".

Примечание редактора: в более ранней версии истории атаки приписывались UNC5221. В настоящее время эта атрибуция не установлена.

Spot_img

Последняя разведка

Spot_img

Авторские права @ 2024 Plato Technologies Inc.

Чат с нами

Всем привет! Могу я чем-нибудь помочь?