Търсене
Close this search box.

Ирония няма, тъй като заплаха от национална държава е използвала осем техники на MITRE, за да пробие самия MITRE – включително използвайки бъговете на Ivanti, върху които нападателите са се трупали в продължение на месеци.

Хакери от чужда национална държава са използвали уязвими крайни устройства Ivanti, за да получат „дълбок“ достъп за три месеца до една от некласифицираните мрежи на MITRE Corp.

MITRE, управител на вездесъщия речник на общоизвестните техники за кибератаки ATT&CK, преди това изкара 15 години без сериозен инцидент. Тази серия се прекъсна през януари, когато, подобно на много други организации, бяха използвани нейните устройства Ivanti gateway.

Пробивът засегна Мрежовата среда за експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която организацията използва за изследвания, разработки и създаване на прототипи. Степента на щетите в NERVE (каламбур) в момента се оценява.

Dark Reading се свърза с MITRE, за да потвърди графика и подробностите за атаката. MITRE не предостави допълнителни разяснения.

ATT&CK на MITRE

Спрете ме, ако вече сте чували това: През януари, след първоначален период на разузнаване, заплахата експлоатира една от виртуалните частни мрежи (VPN) на компанията чрез две уязвимости от нулев ден на Ivanti Connect Secure (техника ATT&CK T1190, Exploit Public-Facing Applications).

Според публикация в блога на Центъра за информирана за заплахите отбрана на MITRE нападателите са заобиколили многофакторното удостоверяване (MFA), защитаващо системата, с помощта на някои отвличания на сесии (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Те са се опитали да използват няколко различни отдалечени услуги (T1021, Remote Services), включително Remote Desktop Protocol (RDP) и Secure Shell (SSH), за да получат достъп до валиден администраторски акаунт (T1078, Valid Accounts). С него те се насочили и „навлезли дълбоко“ в инфраструктурата за виртуализация на VMware в мрежата.

Там те внедрили уеб обвивки (T1505.003, Server Software Component: Web Shell) за постоянство и задни врати за изпълнение на команди (T1059, Command and Scripting Interpreter) и кражба на пълномощия, като ексфилтрирали всички откраднати данни към сървър за управление и контрол (T1041, Exfiltration Over C2 Channel). За да прикрие тази дейност, групата създава свои собствени виртуални инстанции, които да стартират в средата (T1564.006, Hide Artifacts: Run Virtual Instance).

Защита на MITRE

„Въздействието на тази кибератака не бива да се приема с лека ръка“, казва Дарън Гучионе, главен изпълнителен директор и съосновател на Keeper Security, като подчертава „както чуждестранните връзки на нападателите, така и способността на нападателите да използват две сериозни уязвимости от нулев ден в стремежа си да компрометират NERVE на MITRE, което потенциално би могло да доведе до разкриване на чувствителни изследователски данни и интелектуална собственост“.

Той твърди: „Националните участници често имат стратегически мотиви зад своите кибероперации и насочването към известна изследователска институция като MITRE, която работи от името на правителството на САЩ, може да е само един от компонентите на по-голямо усилие.“

Каквито и да са били целите, хакерите са имали достатъчно време да ги изпълнят. Въпреки че компрометирането се е случило през януари, MITRE е успяла да го открие едва през април – четвърт година.

„MITRE следваше най-добрите практики, инструкциите на доставчиците и съветите на правителството за обновяване, подмяна и укрепване на нашата система Ivanti – пише организацията в Medium, – но не открихме страничното движение в нашата инфраструктура VMware. По онова време вярвахме, че сме предприели всички необходими действия за намаляване на уязвимостта, но тези действия явно са били недостатъчни“.

Бележка на редактора: В по-ранна версия на историята в e-security.bg,  атаките бяха приписани на UNC5221. Към момента това приписване не е актуално.

 

Източник: DARKReading

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!