Ирония няма, тъй като заплаха от национална държава е използвала осем техники на MITRE, за да пробие самия MITRE – включително използвайки бъговете на Ivanti, върху които нападателите са се трупали в продължение на месеци.

Хакери от чужда национална държава са използвали уязвими крайни устройства Ivanti, за да получат „дълбок“ достъп за три месеца до една от некласифицираните мрежи на MITRE Corp.

MITRE, управител на вездесъщия речник на общоизвестните техники за кибератаки ATT&CK, преди това изкара 15 години без сериозен инцидент. Тази серия се прекъсна през януари, когато, подобно на много други организации, бяха използвани нейните устройства Ivanti gateway.

Пробивът засегна Мрежовата среда за експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която организацията използва за изследвания, разработки и създаване на прототипи. Степента на щетите в NERVE (каламбур) в момента се оценява.

Dark Reading се свърза с MITRE, за да потвърди графика и подробностите за атаката. MITRE не предостави допълнителни разяснения.

ATT&CK на MITRE

Спрете ме, ако вече сте чували това: През януари, след първоначален период на разузнаване, заплахата експлоатира една от виртуалните частни мрежи (VPN) на компанията чрез две уязвимости от нулев ден на Ivanti Connect Secure (техника ATT&CK T1190, Exploit Public-Facing Applications).

Според публикация в блога на Центъра за информирана за заплахите отбрана на MITRE нападателите са заобиколили многофакторното удостоверяване (MFA), защитаващо системата, с помощта на някои отвличания на сесии (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Те са се опитали да използват няколко различни отдалечени услуги (T1021, Remote Services), включително Remote Desktop Protocol (RDP) и Secure Shell (SSH), за да получат достъп до валиден администраторски акаунт (T1078, Valid Accounts). С него те се насочили и „навлезли дълбоко“ в инфраструктурата за виртуализация на VMware в мрежата.

Там те внедрили уеб обвивки (T1505.003, Server Software Component: Web Shell) за постоянство и задни врати за изпълнение на команди (T1059, Command and Scripting Interpreter) и кражба на пълномощия, като ексфилтрирали всички откраднати данни към сървър за управление и контрол (T1041, Exfiltration Over C2 Channel). За да прикрие тази дейност, групата създава свои собствени виртуални инстанции, които да стартират в средата (T1564.006, Hide Artifacts: Run Virtual Instance).

Защита на MITRE

„Въздействието на тази кибератака не бива да се приема с лека ръка“, казва Дарън Гучионе, главен изпълнителен директор и съосновател на Keeper Security, като подчертава „както чуждестранните връзки на нападателите, така и способността на нападателите да използват две сериозни уязвимости от нулев ден в стремежа си да компрометират NERVE на MITRE, което потенциално би могло да доведе до разкриване на чувствителни изследователски данни и интелектуална собственост“.

Той твърди: „Националните участници често имат стратегически мотиви зад своите кибероперации и насочването към известна изследователска институция като MITRE, която работи от името на правителството на САЩ, може да е само един от компонентите на по-голямо усилие.“

Каквито и да са били целите, хакерите са имали достатъчно време да ги изпълнят. Въпреки че компрометирането се е случило през януари, MITRE е успяла да го открие едва през април – четвърт година.

„MITRE следваше най-добрите практики, инструкциите на доставчиците и съветите на правителството за обновяване, подмяна и укрепване на нашата система Ivanti – пише организацията в Medium, – но не открихме страничното движение в нашата инфраструктура VMware. По онова време вярвахме, че сме предприели всички необходими действия за намаляване на уязвимостта, но тези действия явно са били недостатъчни“.

Бележка на редактора: В по-ранна версия на историята в e-security.bg,  атаките бяха приписани на UNC5221. Към момента това приписване не е актуално.

 

Източник: DARKReading

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!