Corporatia MITRE sustine ca un grup de hackeri sprijinit de stat a spart sistemele sale in ianuarie 2024, folosind doua zero-days de la Ivanti VPN.
Incidentul a fost descoperit dupa ce s-au detectat activitati suspecte pe Mediu de Experimentare, Cercetare si Virtualizare in Retea (NERVE) al MITRE, o retea colaborativa neclasificata folosita pentru cercetare si dezvoltare.
MITRE a notificat de atunci partile afectate de incalcare, a contactat autoritatile relevante si lucreaza acum la restaurarea „alternativelor operationale”.
Dovezile colectate in timpul investigatiei pana acum arata ca aceasta incalcare nu a afectat reteaua enterprise de baza a organizatiei sau sistemele partenerilor sai.
„Nicio organizatie nu este imuna la acest tip de atac cibernetic, nici macar una care se straduieste sa mentina cea mai inalta securitate cibernetica posibila”, a declarat CEO-ul MITRE, Jason Providakes.
„Facem public acest incident intr-un mod oportun datorita angajamentului nostru de a actiona in interesul public si de a pleda pentru cele mai bune practici care imbunatatesc securitatea enterprise-ului, precum si masurile necesare pentru a imbunatati postura actuala de aparare cibernetica a industriei”.
MITRE explica intr-un avertisment separat publicat vineri ca actorii de amenintare au compromis unul dintre Virtual Private Networks (VPN) folosind doua zero-days de la Ivanti Connect Secure.
De asemenea, au putut ocoli apararea de autentificare cu factori multipli (MFA) folosind capturarea sesiunii, ceea ce le-a permis sa se deplaseze lateral prin infrastructura VMware a retelei compromise folosind un cont de administrator capturat.
Pe parcursul incidentului, grupul de amenintare a folosit o combinatie de webshells sofisticate si usi din spate pentru a mentine accesul la sistemele sparte si a colecta acreditari.
De la inceputul lunii decembrie, cele doua vulnerabilitati de securitate, o ocolire a autentificarii (CVE-2023-46805) si o injectie de comenzi (CVE-2024-21887), au fost exploatate pentru a implementa mai multe familii de malware in scopuri de spionaj.
Mandiant a legat aceste atacuri de o amenintare persistenta avansata (APT) pe care o urmareste ca UNC5221, in timp ce Volexity a raportat ca a vazut semne ca actorii de amenintare sprijiniti de statul chinez exploatau cele doua zero-days.
Volexity a spus ca hackerii chinezi au pus usi din spate pe peste 2.100 de echipamente Ivanti, colectand si furand date de cont si de sesiune din retelele compromise. Victimele au variat ca dimensiune de la afaceri mici la unele dintre cele mai mari organizatii din intreaga lume, inclusiv companii Fortune 500 din diverse sectoare industriale.
Datorita exploatarii lor in masa si a suprafetei vaste de atac, CISA a emis prima directiva de urgenta a acestui an la 19 ianuarie, ordonand agentiilor federale sa atenueze imediat zero-days-urile Ivanti.
Ivanti avertizeaza asupra unor defecte critice in solutia sa Avalanche MDM
Palo Alto Networks rezolva zero-day-ul exploatat pentru a pune usi din spate firewall-urile
Telegram rezolva zero-day-ul din aplicatia sa de Windows folosit pentru a lansa scripturi Python
CISA ordona agentiilor afectate de hack-ul Microsoft sa atenueze riscurile
CISA spune ca hack-ul Sisense afecteaza organizatiile de infrastructura critica
Leave a Reply