Търсене
Close this search box.

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска група е пробила системите ѝ през януари 2024 г., като е свързала две 0-Day грешки  на Ivanti VPN.

Инцидентът е открит, след като е засечена подозрителна дейност в мрежовата среда за експерименти, изследвания и виртуализация (NERVE) на MITRE – некласифицирана мрежа за сътрудничество, използвана за изследвания и разработки.

Оттогава MITRE е уведомил засегнатите страни за нарушението, свързал се е със съответните органи и сега работи по възстановяването на „оперативни алтернативи“.

Frontier Communications изключва системите си след кибератака

Доказателствата, събрани по време на разследването до момента, показват, че този пробив не е засегнал основната корпоративна мрежа на организацията или системите на нейните партньори.

„Нито една организация не е защитена от подобен тип кибератака, дори и тази, която се стреми да поддържа възможно най-висока киберсигурност“, заяви главният изпълнителен директор на MITRE Джейсън Провидъкс.

„Разкриваме този инцидент своевременно поради ангажимента ни да работим в обществен интерес и да се застъпваме за най-добрите практики, които повишават сигурността на предприятията, както и за необходимите мерки за подобряване на настоящата киберзащитна позиция на индустрията.“

MITRE обяснява в отделна консултация, публикувана в петък, че извършителите  са компрометирали една от нейните виртуални частни мрежи (VPN) чрез верижно свързване на две 0-Day грешки на Ivanti Connect Secure.

Те също така са могли да заобиколят защитите за многофакторна автентификация (MFA), като са използвали отвличане на сесии, което им е позволило да се движат странично през инфраструктурата на VMware на пробитата мрежа, използвайки отвлечен администраторски акаунт.

По време на целия инцидент групата за заплахи е използвала комбинация от сложни уебшелове и задни вратички, за да поддържа достъпа до хакнатите системи и да събира данни за достъп.

От началото на декември двете уязвимости в сигурността – заобикаляне на автентичността (CVE-2023-46805) и инжектиране на команда (CVE-2024-21887) – са използвани за внедряване на множество семейства зловреден софтуер с цел шпионаж.

Mandiant свързва тези атаки с напреднала постоянна заплаха (APT), която проследява като UNC5221, докато Volexity съобщава, че е видяла признаци, че китайски държавно спонсорирани групи използват двата нулеви дни.

От Volexity съобщиха, че китайските хакери са използвали над 2100 устройства на Ivanti, като са събирали и крали данни за акаунти и сесии от пробитите мрежи. Жертвите са били от малък бизнес до някои от най-големите организации в света, включително компании от Fortune 500 от различни индустриални вертикали.

Поради масовата им експлоатация и обширната повърхност за атаки CISA издаде първата за тази година спешна директива на 19 януари, като нареди на федералните агенции незабавно да смекчат въздействието на нулевите дни на Ivanti.

 

Източник: e-security.bg

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!