Търсене
Close this search box.

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска група е пробила системите ѝ през януари 2024 г., като е свързала две 0-Day грешки  на Ivanti VPN.

Инцидентът е открит, след като е засечена подозрителна дейност в мрежовата среда за експерименти, изследвания и виртуализация (NERVE) на MITRE – некласифицирана мрежа за сътрудничество, използвана за изследвания и разработки.

Оттогава MITRE е уведомил засегнатите страни за нарушението, свързал се е със съответните органи и сега работи по възстановяването на „оперативни алтернативи“.

Frontier Communications изключва системите си след кибератака

Доказателствата, събрани по време на разследването до момента, показват, че този пробив не е засегнал основната корпоративна мрежа на организацията или системите на нейните партньори.

„Нито една организация не е защитена от подобен тип кибератака, дори и тази, която се стреми да поддържа възможно най-висока киберсигурност“, заяви главният изпълнителен директор на MITRE Джейсън Провидъкс.

„Разкриваме този инцидент своевременно поради ангажимента ни да работим в обществен интерес и да се застъпваме за най-добрите практики, които повишават сигурността на предприятията, както и за необходимите мерки за подобряване на настоящата киберзащитна позиция на индустрията.“

MITRE обяснява в отделна консултация, публикувана в петък, че извършителите  са компрометирали една от нейните виртуални частни мрежи (VPN) чрез верижно свързване на две 0-Day грешки на Ivanti Connect Secure.

Те също така са могли да заобиколят защитите за многофакторна автентификация (MFA), като са използвали отвличане на сесии, което им е позволило да се движат странично през инфраструктурата на VMware на пробитата мрежа, използвайки отвлечен администраторски акаунт.

По време на целия инцидент групата за заплахи е използвала комбинация от сложни уебшелове и задни вратички, за да поддържа достъпа до хакнатите системи и да събира данни за достъп.

От началото на декември двете уязвимости в сигурността – заобикаляне на автентичността (CVE-2023-46805) и инжектиране на команда (CVE-2024-21887) – са използвани за внедряване на множество семейства зловреден софтуер с цел шпионаж.

Mandiant свързва тези атаки с напреднала постоянна заплаха (APT), която проследява като UNC5221, докато Volexity съобщава, че е видяла признаци, че китайски държавно спонсорирани групи използват двата нулеви дни.

От Volexity съобщиха, че китайските хакери са използвали над 2100 устройства на Ivanti, като са събирали и крали данни за акаунти и сесии от пробитите мрежи. Жертвите са били от малък бизнес до някои от най-големите организации в света, включително компании от Fortune 500 от различни индустриални вертикали.

Поради масовата им експлоатация и обширната повърхност за атаки CISA издаде първата за тази година спешна директива на 19 януари, като нареди на федералните агенции незабавно да смекчат въздействието на нулевите дни на Ivanti.

 

Източник: e-security.bg

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
16 май 2024

Ascension Healthcare претърпява сериозна кибера...

Атаката прекъсна достъпа до електронните здравни досиета (ЕЗД) и си...
Бъдете социални
Още по темата
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
14/05/2024

Цифровият живот след смъртт...

Специалистите по етика на изкуствения интелект...
12/05/2024

CISA: рансъмуерът Black Bas...

CISA и ФБР съобщиха днес, че...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!