Mitre to jedna z najbezpieczniejszych firm na świecie. Przestępcy ominęli dwuczynnikowe uwierzytelnienie, a następnie przez podatny system VPN dostali się do sieci badawczej Nerve. Tak zhakowali system.
Mitre to firma, o której słyszał chyba każdy, kogo interesuje cyberbezpieczeństwo. Stoi ona za CVE czy programem ATT&CK. Teraz właśnie ta firma została zhakowana.
Jak doszło do zkahowania firmy?
Atakujący wykorzystali dwie podatności 0day w systemie VPN Ivanti. Ominęli uwierzytelnianie dwuskładnikowe poprzez przejęcie identyfikatorów sesji czyli dostępu do kont już zalogowanych przez VPNa.
Następnie zinfiltrowali podsieć ze zwirtualizowanymi serwerami. W tym celu skorzystali z przejętego dostępu administratora. Dla zapewnienia trwałego dostępu do organizacji oraz dalszego wykradania danych logowania użytkowników użyli backdoorów i webshelli.
Odpowiedzialna za atak została uznana grupa hackerską klasy APT.
Reakcja Mitre na atak
W odpowiedzi na atak Mitre odcięła zainfekowane systemy i sieci od reszty infrastruktury. Pomogła w tym wcześniej przygotowana inwentaryzacja zasobów IT, gdyż działanie wcale nie było proste z uwagi na łączność zainfekowanej sieci z wieloma innymi sieciami wewnątrz organizacji.
Powołano specjalny zespół do zarzadzania incydentem. Aktywowano techniczną analizę, by dowiedzieć się, co dokładnie zostało zhakowane i do jakich fragmentów sieci dotarli przestępcy. Pomocny był centralny system agregacji logów np. z firewalli, IDSów, antywirusów, systemów operacyjnych.
Zainfekowane systemy zostały poddano analizie. Na ich miejsce zostały przygotowane zastępniki. Czas potrzebny na takie działanie to około dwóch tygodni. Wdrożono też nowe czujki i sposoby monitorowanie infrastruktury IT. Pozwoli to wyłapać ewentualne ślady atakujących w sieci, ale też umożliwi lepsze monitorowanie sieci w przyszłości.
O całym incydencie poinformowano zewnętrzne organizacja takie jak klienci, akcjonariusze, opinia publiczna i społeczność ITsec.
Źródło: sekurak.pl
