Cyberbezpieczeństwo
MITRE ofiarą chińskich hakerów. 0-day, ominięcie 2FA i nie tylko
Autor. Franz Bachinger, https://pixabay.com/pl/illustrations/haker-bezpiecze%C5%84stwo-cybernetyczne-8033977/
Chińska grupa APT dostała się do wewnętrznej sieci MITRE, czyli amerykańskiej organizacji non-profit odpowiedzialnej m.in. za zarządzanie numerami CVE. MITRE to bliski współpracownik amerykańskiego rządu. Atak składał się z wielu etapów i wykorzystywał różne rodzaje podatności.
MITRE to organizacja bliska każdej osobie związanej z cyberbezpieczeństwem. Oprócz CVE zajmuje się m.in. MITRE ATT&CK, czyli macierzami pomagającymi zrozumieć zachowania cyberprzestępców. Ostatnio wyszło na jaw, że w styczniu tego roku chińskim hakerom udało się wykorzystać luki 0-day i obejść dwuetapowe uwierzytelnianie. MITRE informuje szczegółowo o przebiegu ataku i podejmowanych środkach zapobiegawczych.
Przebieg ataku
Cyberprzestępcy uzyskali dostęp do systemów wykorzystując podatności w VPN od Ivanti. Nadano im identyfikatory CVE-2023-46805 (CVSS Score 8.2/10) i CVE-2024-21887 (CVSS Score 9.1/10).
Kolejnym krokiem nieetycznych hakerów było obejście dwuetapowego uwierzytelnienia (tzw.2FA, Two-factor authorization). Dokonali tego za pomocą przejmowania identyfikatorów sesji. Pozwoliło to Chińczykom na infiltrowanie infrastruktury za pomocą konta administratora.
W końcowej fazie ataku hakerzy zostawili w systemie wiele backdoorów (tzw. tylnych furtek). Wykradali również dane logowania.
Reakcja MITRE
„Nie ma organizacji odpornej na taki typ cyberataku, nawet z tych dążących do utrzymania najwyższych możliwych standardów cyberbezpieczeństwa” – mówi Jason Providakes, CEO MITRE.
Jason Providakes słusznie stwierdził, że taki typ cyberataku jest praktycznie niemożliwy do natychmiastowego odparcia, ponieważ atakujący wykorzystali podatności, które nie zostały wówczas załatane przez producenta. Takie luki bezpieczeństwa, które są możliwe do wykorzystania przed opublikowaniem poprawek bezpieczeństwa znane są jako 0-day.
MITRE prawidłowo obsługiwało incydent, co nie powinno być zaskoczeniem ze względu na charakter tej organizacji. Przede wszystkim odcięto zainfekowane urządzenia od reszty infrastruktury i rozpoczęto dogłębną analizę.
Odpowiedzialność za atak
Według thehackernews.com za atakiem stoi UTA0178, czyli grupa APT działająca na zlecenie chińskiego rządu. Zgodnie z ustaleniami Volexity, UTA0178 wykorzystywało luki w VPN od Ivanti.
Obecnie nie znane są skutki działania chińskich cyberprzestępców. Wykradzione dane mogą im posłużyć podczas kolejnych cyberataków.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
