Корпорацията MITRE твърди, че подкрепяна от държавата хакерска група е пробила системите ѝ през януари 2024 г., като е свързала две 0-Day грешки на Ivanti VPN.
Инцидентът е открит, след като е засечена подозрителна дейност в мрежовата среда за експерименти, изследвания и виртуализация (NERVE) на MITRE – некласифицирана мрежа за сътрудничество, използвана за изследвания и разработки.
Оттогава MITRE е уведомил засегнатите страни за нарушението, свързал се е със съответните органи и сега работи по възстановяването на „оперативни алтернативи“.
Доказателствата, събрани по време на разследването до момента, показват, че този пробив не е засегнал основната корпоративна мрежа на организацията или системите на нейните партньори.
„Нито една организация не е защитена от подобен тип кибератака, дори и тази, която се стреми да поддържа възможно най-висока киберсигурност“, заяви главният изпълнителен директор на MITRE Джейсън Провидъкс.
„Разкриваме този инцидент своевременно поради ангажимента ни да работим в обществен интерес и да се застъпваме за най-добрите практики, които повишават сигурността на предприятията, както и за необходимите мерки за подобряване на настоящата киберзащитна позиция на индустрията.“
MITRE обяснява в отделна консултация, публикувана в петък, че извършителите са компрометирали една от нейните виртуални частни мрежи (VPN) чрез верижно свързване на две 0-Day грешки на Ivanti Connect Secure.
Те също така са могли да заобиколят защитите за многофакторна автентификация (MFA), като са използвали отвличане на сесии, което им е позволило да се движат странично през инфраструктурата на VMware на пробитата мрежа, използвайки отвлечен администраторски акаунт.
По време на целия инцидент групата за заплахи е използвала комбинация от сложни уебшелове и задни вратички, за да поддържа достъпа до хакнатите системи и да събира данни за достъп.
От началото на декември двете уязвимости в сигурността – заобикаляне на автентичността (CVE-2023-46805) и инжектиране на команда (CVE-2024-21887) – са използвани за внедряване на множество семейства зловреден софтуер с цел шпионаж.
Mandiant свързва тези атаки с напреднала постоянна заплаха (APT), която проследява като UNC5221, докато Volexity съобщава, че е видяла признаци, че китайски държавно спонсорирани групи използват двата нулеви дни.
От Volexity съобщиха, че китайските хакери са използвали над 2100 устройства на Ivanti, като са събирали и крали данни за акаунти и сесии от пробитите мрежи. Жертвите са били от малък бизнес до някои от най-големите организации в света, включително компании от Fortune 500 от различни индустриални вертикали.
Поради масовата им експлоатация и обширната повърхност за атаки CISA издаде първата за тази година спешна директива на 19 януари, като нареди на федералните агенции незабавно да смекчат въздействието на нулевите дни на Ivanti.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
