MITRE ATT&CKED

MITRE ATT&CKED

Ирония няма, тъй като заплаха от национална държава е използвала осем техники на MITRE, за да пробие самия MITRE – включително използвайки бъговете на Ivanti, върху които нападателите са се трупали в продължение на месеци.

Хакери от чужда национална държава са използвали уязвими крайни устройства Ivanti, за да получат „дълбок“ достъп за три месеца до една от некласифицираните мрежи на MITRE Corp.

MITRE, управител на вездесъщия речник на общоизвестните техники за кибератаки ATT&CK, преди това изкара 15 години без сериозен инцидент. Тази серия се прекъсна през януари, когато, подобно на много други организации, бяха използвани нейните устройства Ivanti gateway.

Пробивът засегна Мрежовата среда за експерименти, изследвания и виртуализация (NERVE) – некласифицирана мрежа за сътрудничество, която организацията използва за изследвания, разработки и създаване на прототипи. Степента на щетите в NERVE (каламбур) в момента се оценява.

Dark Reading се свърза с MITRE, за да потвърди графика и подробностите за атаката. MITRE не предостави допълнителни разяснения.

ATT&CK на MITRE

Спрете ме, ако вече сте чували това: През януари, след първоначален период на разузнаване, заплахата експлоатира една от виртуалните частни мрежи (VPN) на компанията чрез две уязвимости от нулев ден на Ivanti Connect Secure (техника ATT&CK T1190, Exploit Public-Facing Applications).

Според публикация в блога на Центъра за информирана за заплахите отбрана на MITRE нападателите са заобиколили многофакторното удостоверяване (MFA), защитаващо системата, с помощта на някои отвличания на сесии (MITRE ATT&CK T1563, Remote Service Session Hijacking).

Те са се опитали да използват няколко различни отдалечени услуги (T1021, Remote Services), включително Remote Desktop Protocol (RDP) и Secure Shell (SSH), за да получат достъп до валиден администраторски акаунт (T1078, Valid Accounts). С него те се насочили и „навлезли дълбоко“ в инфраструктурата за виртуализация на VMware в мрежата.

Там те внедрили уеб обвивки (T1505.003, Server Software Component: Web Shell) за постоянство и задни врати за изпълнение на команди (T1059, Command and Scripting Interpreter) и кражба на пълномощия, като ексфилтрирали всички откраднати данни към сървър за управление и контрол (T1041, Exfiltration Over C2 Channel). За да прикрие тази дейност, групата създава свои собствени виртуални инстанции, които да стартират в средата (T1564.006, Hide Artifacts: Run Virtual Instance).

Защита на MITRE

„Въздействието на тази кибератака не бива да се приема с лека ръка“, казва Дарън Гучионе, главен изпълнителен директор и съосновател на Keeper Security, като подчертава „както чуждестранните връзки на нападателите, така и способността на нападателите да използват две сериозни уязвимости от нулев ден в стремежа си да компрометират NERVE на MITRE, което потенциално би могло да доведе до разкриване на чувствителни изследователски данни и интелектуална собственост“.

Той твърди: „Националните участници често имат стратегически мотиви зад своите кибероперации и насочването към известна изследователска институция като MITRE, която работи от името на правителството на САЩ, може да е само един от компонентите на по-голямо усилие.“

Каквито и да са били целите, хакерите са имали достатъчно време да ги изпълнят. Въпреки че компрометирането се е случило през януари, MITRE е успяла да го открие едва през април – четвърт година.

„MITRE следваше най-добрите практики, инструкциите на доставчиците и съветите на правителството за обновяване, подмяна и укрепване на нашата система Ivanti – пише организацията в Medium, – но не открихме страничното движение в нашата инфраструктура VMware. По онова време вярвахме, че сме предприели всички необходими действия за намаляване на уязвимостта, но тези действия явно са били недостатъчни“.

Бележка на редактора: В по-ранна версия на историята в e-security.bg,  атаките бяха приписани на UNC5221. Към момента това приписване не е актуално.

 

Източник: DARKReading

Сподели в: