Logo Zephyrnet

Inteligența generativă a datelor

Securitate cibernetică

MITRE ATT&CKED: Cel mai de încredere nume al InfoSec îi revine lui Ivanti Bugs

Republicat de Platon
Republicat de Platon

Data:

Vizualizari: 95

Hackerii de stat chinezi au folosit dispozitive Ivanti edge vulnerabile pentru a obține un acces „profund” de trei luni la una dintre rețelele neclasificate ale MITRE Corp.

MITRE, administrator al omniprezentului glosar ATT&CK al tehnicilor de atac cibernetic cunoscute în mod obișnuit, a trecut anterior 15 ani fără un incident major. Numărul s-a întrerupt în ianuarie când, ca atâtea alte organizații, dispozitivele sale gateway Ivanti au fost exploatate de UNC5221 (aka UTA0178) susținut de stat chinez.

Încălcarea a afectat mediul de experimentare, cercetare și virtualizare în rețea (NERVE), o rețea de colaborare neclasificată pe care organizația o folosește pentru cercetare, dezvoltare și prototipare. În prezent, este în curs de evaluare amploarea leziunii NERVILOR (joc de cuvinte).

Dark Reading a contactat MITRE pentru a confirma cronologia și detaliile atacului. MITRE nu a oferit clarificări suplimentare.

ATT&CK lui MITRE

Oprește-mă dacă ai mai auzit-o pe asta: în ianuarie, după o perioadă inițială de recunoaștere, un actor de amenințare a exploatat una dintre rețelele private virtuale (VPN) ale companiei prin două vulnerabilități Ivanti Connect Secure zero-day (tehnica ATT&CK T1190, Exploit Public-Facing Applications).

Potrivit unui blog de la Centrul MITRE pentru Apărare Informată de Amenințări, atacatorii au ocolit autentificarea multifactor (MFA) protejând sistemul cu unele deturnări de sesiune (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Ei au încercat să utilizeze mai multe servicii de la distanță diferite (T1021, Servicii de la distanță), inclusiv Remote Desktop Protocol (RDP) și Secure Shell (SSH), pentru a obține acces la un cont de administrator valid (T1078, Valid Accounts). Odată cu acesta, au pivotat și „săpat adânc” în infrastructura de virtualizare VMware a rețelei.

Acolo, au implementat shell-uri web (T1505.003, Server Software Component: Web Shell) pentru persistență și backdoors pentru a rula comenzi (T1059, Command and Scripting Interpreter) și a fura acreditările, exfiltrând orice date furate pe un server de comandă și control. (T1041, Exfiltrare peste canalul C2). Pentru a ascunde această activitate, grupul și-a creat propriile instanțe virtuale pentru a rula în mediu (T1564.006, Hide Artifacts: Run Virtual Instance).

Apărarea lui MITRE

„Impactul acestui atac cibernetic nu trebuie luat cu ușurință”, spune Darren Guccione, CEO și co-fondator la Keeper Security, subliniind „atât legăturile externe ale atacatorilor, cât și capacitatea atacatorilor de a exploata două vulnerabilități grave de tip zero-day în încercarea lor de a compromite NERVUL lui MITRE, care ar putea expune datele sensibile de cercetare și proprietatea intelectuală.”

El postulează: „Actorii din statul național au adesea motivații strategice în spatele operațiunilor lor cibernetice, iar vizarea unei instituții de cercetare proeminente precum MITRE, care lucrează în numele guvernului SUA, ar putea fi doar o componentă a unui efort mai amplu”.

Oricare ar fi obiectivele sale, UNC5221 a avut timp suficient pentru a le îndeplini. Deși compromisul a avut loc în ianuarie, MITRE a reușit să-l detecteze doar în aprilie, lăsând un interval de un sfert de an între ele.

„MITRE a urmat cele mai bune practici, instrucțiunile furnizorilor și sfaturile guvernului actualizați, înlocuiți și întăriți sistemul nostru Ivanti”, a scris organizația pe Medium, „dar nu am detectat mișcarea laterală în infrastructura noastră VMware. La momentul respectiv credeam că am luat toate acțiunile necesare pentru a atenua vulnerabilitatea, dar aceste acțiuni au fost în mod evident insuficiente. "

spot_img

Ultimele informații

spot_img

Drepturi de autor @ 2024 Plato Technologies Inc.