Търсене
Close this search box.

MITRE ATT&CKED: Най-надеждното име в областта на информационната сигурност пада под ударите на бъгове на Ivanti

Ирония няма, тъй като заплаха от национална държава е използвала осем техники на MITRE, за да пробие самия MITRE – включително използвайки бъговете на Ivanti, върху които нападателите са се трупали в продължение на месеци.

Хакери от чужда национална държава са използвали уязвими крайни устройства Ivanti, за да получат „дълбок“ достъп за три месеца до една от некласифицираните мрежи на MITRE Corp.

MITRE, управител на вездесъщия речник на общоизвестните техники за кибератаки ATT&CK, преди това изкара 15 години без сериозен инцидент. Тази серия се прекъсна през януари, когато, подобно на много други организации, бяха използвани нейните устройства Ivanti gateway.

Пробивът засегна Мрежовата среда за експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която организацията използва за изследвания, разработки и създаване на прототипи. Степента на щетите в NERVE (каламбур) в момента се оценява.

Dark Reading се свърза с MITRE, за да потвърди графика и подробностите за атаката. MITRE не предостави допълнителни разяснения.

ATT&CK на MITRE

Спрете ме, ако вече сте чували това: През януари, след първоначален период на разузнаване, заплахата експлоатира една от виртуалните частни мрежи (VPN) на компанията чрез две уязвимости от нулев ден на Ivanti Connect Secure (техника ATT&CK T1190, Exploit Public-Facing Applications).

Според публикация в блога на Центъра за информирана за заплахите отбрана на MITRE нападателите са заобиколили многофакторното удостоверяване (MFA), защитаващо системата, с помощта на някои отвличания на сесии (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Те са се опитали да използват няколко различни отдалечени услуги (T1021, Remote Services), включително Remote Desktop Protocol (RDP) и Secure Shell (SSH), за да получат достъп до валиден администраторски акаунт (T1078, Valid Accounts). С него те се насочили и „навлезли дълбоко“ в инфраструктурата за виртуализация на VMware в мрежата.

Там те внедрили уеб обвивки (T1505.003, Server Software Component: Web Shell) за постоянство и задни врати за изпълнение на команди (T1059, Command and Scripting Interpreter) и кражба на пълномощия, като ексфилтрирали всички откраднати данни към сървър за управление и контрол (T1041, Exfiltration Over C2 Channel). За да прикрие тази дейност, групата създава свои собствени виртуални инстанции, които да стартират в средата (T1564.006, Hide Artifacts: Run Virtual Instance).

Защита на MITRE

„Въздействието на тази кибератака не бива да се приема с лека ръка“, казва Дарън Гучионе, главен изпълнителен директор и съосновател на Keeper Security, като подчертава „както чуждестранните връзки на нападателите, така и способността на нападателите да използват две сериозни уязвимости от нулев ден в стремежа си да компрометират NERVE на MITRE, което потенциално би могло да доведе до разкриване на чувствителни изследователски данни и интелектуална собственост“.

Той твърди: „Националните участници често имат стратегически мотиви зад своите кибероперации и насочването към известна изследователска институция като MITRE, която работи от името на правителството на САЩ, може да е само един от компонентите на по-голямо усилие.“

Каквито и да са били целите, хакерите са имали достатъчно време да ги изпълнят. Въпреки че компрометирането се е случило през януари, MITRE е успяла да го открие едва през април – четвърт година.

„MITRE следваше най-добрите практики, инструкциите на доставчиците и съветите на правителството за обновяване, подмяна и укрепване на нашата система Ivanti – пише организацията в Medium, – но не открихме страничното движение в нашата инфраструктура VMware. По онова време вярвахме, че сме предприели всички необходими действия за намаляване на уязвимостта, но тези действия явно са били недостатъчни“.

Бележка на редактора: В по-ранна версия на историята в e-security.bg,  атаките бяха приписани на UNC5221. Към момента това приписване не е актуално.

 

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
Бъдете социални
Още по темата
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
12/06/2024

Нова заплаха се разпростран...

Невиждан досега зловреден софтуер за Windows,...
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!