Ирония няма, тъй като заплаха от национална държава е използвала осем техники на MITRE, за да пробие самия MITRE – включително използвайки бъговете на Ivanti, върху които нападателите са се трупали в продължение на месеци.
Хакери от чужда национална държава са използвали уязвими крайни устройства Ivanti, за да получат „дълбок“ достъп за три месеца до една от некласифицираните мрежи на MITRE Corp.
MITRE, управител на вездесъщия речник на общоизвестните техники за кибератаки ATT&CK, преди това изкара 15 години без сериозен инцидент. Тази серия се прекъсна през януари, когато, подобно на много други организации, бяха използвани нейните устройства Ivanti gateway.
Пробивът засегна Мрежовата среда за експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която организацията използва за изследвания, разработки и създаване на прототипи. Степента на щетите в NERVE (каламбур) в момента се оценява.
Dark Reading се свърза с MITRE, за да потвърди графика и подробностите за атаката. MITRE не предостави допълнителни разяснения.
Спрете ме, ако вече сте чували това: През януари, след първоначален период на разузнаване, заплахата експлоатира една от виртуалните частни мрежи (VPN) на компанията чрез две уязвимости от нулев ден на Ivanti Connect Secure (техника ATT&CK T1190, Exploit Public-Facing Applications).
Според публикация в блога на Центъра за информирана за заплахите отбрана на MITRE нападателите са заобиколили многофакторното удостоверяване (MFA), защитаващо системата, с помощта на някои отвличания на сесии (MITRE ATT&CK T1563, Remote Service Session Hijacking).
Те са се опитали да използват няколко различни отдалечени услуги (T1021, Remote Services), включително Remote Desktop Protocol (RDP) и Secure Shell (SSH), за да получат достъп до валиден администраторски акаунт (T1078, Valid Accounts). С него те се насочили и „навлезли дълбоко“ в инфраструктурата за виртуализация на VMware в мрежата.
Там те внедрили уеб обвивки (T1505.003, Server Software Component: Web Shell) за постоянство и задни врати за изпълнение на команди (T1059, Command and Scripting Interpreter) и кражба на пълномощия, като ексфилтрирали всички откраднати данни към сървър за управление и контрол (T1041, Exfiltration Over C2 Channel). За да прикрие тази дейност, групата създава свои собствени виртуални инстанции, които да стартират в средата (T1564.006, Hide Artifacts: Run Virtual Instance).
„Въздействието на тази кибератака не бива да се приема с лека ръка“, казва Дарън Гучионе, главен изпълнителен директор и съосновател на Keeper Security, като подчертава „както чуждестранните връзки на нападателите, така и способността на нападателите да използват две сериозни уязвимости от нулев ден в стремежа си да компрометират NERVE на MITRE, което потенциално би могло да доведе до разкриване на чувствителни изследователски данни и интелектуална собственост“.
Той твърди: „Националните участници често имат стратегически мотиви зад своите кибероперации и насочването към известна изследователска институция като MITRE, която работи от името на правителството на САЩ, може да е само един от компонентите на по-голямо усилие.“
Каквито и да са били целите, хакерите са имали достатъчно време да ги изпълнят. Въпреки че компрометирането се е случило през януари, MITRE е успяла да го открие едва през април – четвърт година.
„MITRE следваше най-добрите практики, инструкциите на доставчиците и съветите на правителството за обновяване, подмяна и укрепване на нашата система Ivanti – пише организацията в Medium, – но не открихме страничното движение в нашата инфраструктура VMware. По онова време вярвахме, че сме предприели всички необходими действия за намаляване на уязвимостта, но тези действия явно са били недостатъчни“.
Бележка на редактора: В по-ранна версия на историята в e-security.bg, атаките бяха приписани на UNC5221. Към момента това приписване не е актуално.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.