Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.
Yaygın olarak bilinen siber saldırı teknikleri ile ilgili her yerde bulunan ATT&CK sözlüğünün sorumlusu olan MITRE, daha önce 15 yıl boyunca büyük bir olay yaşamamıştı. Seri Ocak ayında koptu diğer birçok kuruluş, its Ivanti gateway devices were exploited.
İhlal, kuruluşun araştırma, geliştirme ve prototip oluşturmak için kullandığı, sınıflandırılmamış, işbirliğine dayalı bir ağ olan Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamını (NERVE) etkiledi. SİNİR hasarının boyutu (amaçlanan) şu anda değerlendiriliyor.
Dark Reading, saldırının zaman çizelgesini ve ayrıntılarını doğrulamak için MITRE'ye ulaştı. MITRE daha fazla açıklama yapmadı.
MITRE'nin ATT&CK'si
Bunu daha önce duyduysanız beni durdurun: Ocak ayında, ilk keşif sürecinin ardından bir tehdit aktörü, şirketin sanal özel ağlarından (VPN'ler) birinden yararlandı. iki Ivanti Connect Secure sıfır gün güvenlik açığı (ATT&CK tekniği T1190, Kamuya Yönelik Uygulamalardan Yararlanma).
Bir göre blog yazısı MITRE'nin Tehdit Bilgili Savunma Merkezi'nden gelen saldırganlar, bazı oturum ele geçirme işlemleriyle (MITRE ATT&CK T1563, Uzaktan Hizmet Oturumu Ele Geçirme) sistemi koruyan çok faktörlü kimlik doğrulamayı (MFA) atladılar.
Geçerli bir yönetici hesabına (T1021, Geçerli Hesaplar) erişim kazanmak için Uzak Masaüstü Protokolü (RDP) ve Secure Shell (SSH) dahil olmak üzere birkaç farklı uzak hizmetten (T1078, Uzak Hizmetler) yararlanmaya çalıştılar. Bununla birlikte, ağın VMware sanallaştırma altyapısının "derinlerine indiler".
Burada kalıcılık için Web kabukları (T1505.003, Sunucu Yazılım Bileşeni: Web Kabuğu) ve komutları çalıştırmak (T1059, Komut ve Komut Dosyası Yorumlayıcısı) ve kimlik bilgilerini çalmak için arka kapılar dağıtarak çalınan verileri bir komut ve kontrol sunucusuna sızdırdılar. (T1041, C2 Kanalı Üzerinden Süzme). Bu etkinliği gizlemek için grup, ortamda çalışacak kendi sanal örneklerini oluşturdu (T1564.006, Yapıları Gizle: Sanal Örneği Çalıştır).
MITRE'nin Savunması
Keeper Security'nin CEO'su ve kurucu ortağı Darren Guccione, "Bu siber saldırının etkisi hafife alınmamalı" diyor ve "hem saldırganların yurtdışı bağlarının hem de saldırganların güvenlik alanındaki iki ciddi sıfır gün güvenlik açığından yararlanma yeteneklerinin" altını çiziyor. hassas araştırma verilerini ve fikri mülkiyet haklarını potansiyel olarak açığa çıkarabilecek MITRE'nin SİNİRİNİ tehlikeye atma arayışları.”
Şunu öne sürüyor: "Ulus devlet aktörleri, siber operasyonlarının arkasında genellikle stratejik motivasyonlara sahiptir ve ABD hükümeti adına çalışan MITRE gibi önde gelen bir araştırma kurumunun hedef alınması, daha büyük bir çabanın yalnızca bir bileşeni olabilir."
Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.
“MITRE en iyi uygulamaları, satıcı talimatlarını ve hükümetin tavsiyelerini takip etti Ivanti sistemimizi yükseltin, değiştirin ve güçlendirinKuruluş Medium'da şöyle yazdı: "Ancak VMware altyapımızda yanal bir hareket tespit edemedik. O zamanlar güvenlik açığını azaltmak için gerekli tüm önlemleri aldığımıza inanıyorduk, ancak bu eylemler açıkça yetersizdi".
Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs
