Çinli devlet korsanları, MITRE Corp.’un sınıflandırılmamış ağlarından birine üç aylık “derin” erişim elde etmek için savunmasız Ivanti uç cihazlarını kullandı.
Yaygın olarak bilinen siber saldırı teknikleri ile ilgili her yerde bulunan ATT&CK sözlüğünün sorumlusu olan MITRE, daha önce 15 yıl boyunca büyük bir olay yaşamamıştı. Bu seri Ocak ayında koptu diğer birçok kuruluşIvanti ağ geçidi cihazları, Çin devleti destekli UNC5221 (diğer adıyla UTA0178) tarafından istismar edildi.
İhlal, kuruluşun araştırma, geliştirme ve prototip oluşturmak için kullandığı, sınıflandırılmamış, işbirliğine dayalı bir ağ olan Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamını (NERVE) etkiledi. SİNİR hasarının boyutu (amaçlanan) şu anda değerlendiriliyor.
Dark Reading, saldırının zaman çizelgesini ve ayrıntılarını doğrulamak için MITRE’ye ulaştı. MITRE daha fazla açıklama yapmadı.
MITRE’nin ATT&CK’si
Bunu daha önce duyduysanız beni durdurun: Ocak ayında, ilk keşif sürecinin ardından bir tehdit aktörü, şirketin sanal özel ağlarından (VPN’ler) birinden yararlandı. iki Ivanti Connect Secure sıfır gün güvenlik açığı (ATT&CK tekniği T1190, Kamuya Yönelik Uygulamalardan Yararlanma).
Bir göre Blog yazısı MITRE’nin Tehdit Bilgili Savunma Merkezi’nden gelen saldırganlar, bazı oturum ele geçirme işlemleriyle (MITRE ATT&CK T1563, Uzaktan Hizmet Oturumu Ele Geçirme) sistemi koruyan çok faktörlü kimlik doğrulamayı (MFA) atladılar.
Geçerli bir yönetici hesabına (T1078, Geçerli Hesaplar) erişim kazanmak için Uzak Masaüstü Protokolü (RDP) ve Secure Shell (SSH) dahil olmak üzere birkaç farklı uzak hizmetten (T1021, Uzak Hizmetler) yararlanmaya çalıştılar. Bununla birlikte, ağın VMware sanallaştırma altyapısının “derinlerine indiler”.
Burada kalıcılık için Web kabukları (T1505.003, Sunucu Yazılım Bileşeni: Web Kabuğu) ve komutları çalıştırmak (T1059, Komut ve Komut Dosyası Yorumlayıcısı) ve kimlik bilgilerini çalmak için arka kapılar dağıtarak çalınan verileri bir komut ve kontrol sunucusuna sızdırdılar. (T1041, C2 Kanalı Üzerinden Süzme). Bu etkinliği gizlemek için grup, ortamda çalışacak kendi sanal örneklerini oluşturdu (T1564.006, Yapıları Gizle: Sanal Örneği Çalıştır).
MITRE’nin Savunması
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, “Bu siber saldırının etkisi hafife alınmamalı” diyor ve “hem saldırganların yurtdışı bağlarına hem de saldırganların iki ciddi sıfır gün güvenlik açığından yararlanma becerisine” dikkat çekiyor. Hassas araştırma verilerini ve fikri mülkiyet haklarını potansiyel olarak açığa çıkarabilecek MITRE’nin SİNİRİNİ tehlikeye atma arayışları.”
“Ulus devlet aktörlerinin siber operasyonlarının arkasında genellikle stratejik motivasyonlar vardır ve ABD hükümeti adına çalışan MITRE gibi önde gelen bir araştırma kurumunun hedef alınması, daha büyük bir çabanın yalnızca bir bileşeni olabilir.”
Hedefleri ne olursa olsun, UNC5221’in bunları gerçekleştirmek için yeterli zamanı vardı. Her ne kadar uzlaşma Ocak ayında gerçekleşmiş olsa da, MITRE bunu ancak Nisan ayında tespit edebildi ve arada çeyrek yıllık bir boşluk kaldı.
“MITRE en iyi uygulamaları, satıcı talimatlarını ve hükümetin tavsiyelerini takip etti Ivanti sistemimizi yükseltin, değiştirin ve güçlendirinKuruluş Medium’da şunları yazdı: “Ancak VMware altyapımızda yanal bir hareket tespit edemedik. O zamanlar güvenlik açığını azaltmak için gerekli tüm önlemleri aldığımıza inanıyorduk, ancak bu eylemler açıkça yetersizdi“