MITRE dice que atacantes estatales violaron su red a través Zero-Days

MITRE dice que un grupo de delincuentes informáticos respaldado por un estado violó sus sistemas en enero de 2024 al encadenar dos vulnerabilidade Zero-Day de Ivanti Connect Secure.

El incidente se descubrió después de que se detectara actividad sospechosa en su entorno de virtualización, investigación e experimentación (conocido como NERVE), una red colaborativa no clasificada utilizada para investigación y desarrollo.

Desde entonces, MITRE ha notificado a las partes afectadas sobre la infracción, se ha puesto en contacto con las autoridades pertinentes y ahora está trabajando para restaurar las "alternativas operativas". La evidencia recopilada durante la investigación hasta ahora muestra que esta violación no afectó la red empresarial central de la organización ni los sistemas de sus socios.

Para proporcionar una comprensión integral del ataque, la siguiente tabla proporciona algunas de las tácticas, técnicas y procedimientos iniciales de ATT&CK correspondientes. Esta es una lista necesariamente incompleta ya que la investigación está en curso.

"Estamos divulgando este incidente de manera oportuna debido a nuestro compromiso de operar en el interés público y defender las mejores prácticas que mejoren la seguridad empresarial, así como las medidas necesarias para mejorar la postura actual de ciberdefensa de la industria", dijo el viernes el director ejecutivo de MITRE, Jason Providakes.

El CTO de MITRE, Charles Clancy, y el ingeniero de ciberseguridad, Lex Crumpton, también explicaron en un aviso separado que los actores de amenazas comprometieron una de las VPN de MITRE al encadenar dos días cero de Ivanti Connect Secure. También pudieron eludir las defensas de autenticación multifactor (MFA) mediante el uso del secuestro de sesión, lo que les permitía moverse lateralmente a través de la infraestructura VMware de la red violada utilizando una cuenta de administrador secuestrada.

A lo largo del incidente, los delincuentes informáticos utilizaron una combinación de sofisticados webshells y puertas traseras para mantener el acceso a los sistemas y recopilar credenciales.

Desde principios de diciembre, las dos vulnerabilidades de seguridad, una omisión de autenticación (CVE-2023-46805) y una inyección de comando (CVE-2024-21887), se han aprovechado para implementar múltiples familias de malware con fines de espionaje.

Mandiant ha vinculado estos ataques a una amenaza persistente avanzada (APT) que rastrea como UNC5221, mientras que Volexity informó haber visto señales de que actores de amenazas patrocinados por el estado chino estaban explotando los dos días cero.

Volexity dijo que los atacantes chinos abrieron puertas traseras en más de 2.100 dispositivos Ivanti, recopilando y robando datos de cuentas y sesiones de las redes violadas. Las víctimas variaban en tamaño, desde pequeñas empresas hasta algunas de las organizaciones más grandes del mundo, incluidas empresas Fortune 500 de diversos sectores industriales.

Debido a su explotación masiva y a la vasta superficie de ataque, CISA emitió la primera directiva de emergencia de este año el 19 de enero, ordenando a las agencias federales que mitiguen los días cero de Ivanti de inmediato.

Fuente: BC

Suscríbete a nuestro Boletín