TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Jedna z najbezpieczniejszych firm na świecie zhakowana

Mitre to jedna z najbezpieczniejszych firm na świecie. Przestępcy ominęli dwuczynnikowe uwierzytelnienie, a następnie przez podatny system VPN dostali się do sieci badawczej Nerve. Tak zhakowali system.

Mitre to firma, o której słyszał chyba każdy, kogo interesuje cyberbezpieczeństwo. Stoi ona za CVE czy programem ATT&CK. Teraz właśnie ta firma została zhakowana.

Jak doszło do zkahowania firmy?

Atakujący wykorzystali dwie podatności 0day w systemie VPN Ivanti. Ominęli uwierzytelnianie dwuskładnikowe poprzez przejęcie identyfikatorów sesji czyli dostępu do kont już zalogowanych przez VPNa.

Następnie zinfiltrowali podsieć ze zwirtualizowanymi serwerami. W tym celu skorzystali z przejętego dostępu administratora. Dla zapewnienia trwałego dostępu do organizacji oraz dalszego wykradania danych logowania użytkowników użyli backdoorów i webshelli.

Odpowiedzialna za atak została uznana grupa hackerską klasy APT.

Reakcja Mitre na atak

W odpowiedzi na atak Mitre odcięła zainfekowane systemy i sieci od reszty infrastruktury. Pomogła w tym wcześniej przygotowana inwentaryzacja zasobów IT, gdyż działanie wcale nie było proste z uwagi na łączność zainfekowanej sieci z wieloma innymi sieciami wewnątrz organizacji.

Powołano specjalny zespół do zarzadzania incydentem. Aktywowano techniczną analizę, by dowiedzieć się, co dokładnie zostało zhakowane i do jakich fragmentów sieci dotarli przestępcy. Pomocny był centralny system agregacji logów np. z firewalli, IDSów, antywirusów, systemów operacyjnych.

Zainfekowane systemy zostały poddano analizie. Na ich miejsce zostały przygotowane zastępniki. Czas potrzebny na takie działanie to około dwóch tygodni. Wdrożono też nowe czujki i sposoby monitorowanie infrastruktury IT. Pozwoli to wyłapać ewentualne ślady atakujących w sieci, ale też umożliwi lepsze monitorowanie sieci w przyszłości.

O całym incydencie poinformowano zewnętrzne organizacja takie jak klienci, akcjonariusze, opinia publiczna i społeczność ITsec.

Źródło: sekurak.pl

Klaudia Wojciechowska
Klaudia Wojciechowska
Redaktorka ISPortal i ISProfessional. Dziennikarka telewizji lokalnego operatora telekomunikacyjnego Ret-Sat1. Absolwentka kulturoznawstwa na Uniwersytecie Łódzkim ze specjalizacją filmoznawstwo i nowe media.

przeczytaj najnowszy numer isporfessional

Najnowsze