MITRE dice que un grupo de delincuentes informáticos respaldado por un estado
violó sus sistemas en enero de 2024 al encadenar dos vulnerabilidade Zero-Day
de Ivanti Connect Secure.
El incidente se descubrió después de que se detectara actividad sospechosa en
su entorno de virtualización, investigación e experimentación (conocido como
NERVE), una red colaborativa no clasificada utilizada para investigación y
desarrollo.
Desde entonces, MITRE ha notificado a las partes afectadas sobre la
infracción, se ha puesto en contacto con las autoridades pertinentes y ahora
está trabajando para restaurar las «alternativas operativas». La evidencia
recopilada durante la investigación hasta ahora muestra que esta violación no
afectó la red empresarial central de la organización ni los sistemas de sus
socios.
Para proporcionar una comprensión integral del ataque, la siguiente tabla
proporciona algunas de las tácticas, técnicas y procedimientos iniciales de
ATT&CK correspondientes. Esta es una lista necesariamente incompleta ya
que la investigación está en curso.
«Estamos divulgando este incidente de manera oportuna debido a nuestro
compromiso de operar en el interés público y defender las mejores prácticas
que mejoren la seguridad empresarial, así como las medidas necesarias para
mejorar la postura actual de ciberdefensa de la industria»,
dijo
el viernes el director ejecutivo de MITRE, Jason Providakes.
El CTO de MITRE, Charles Clancy, y el ingeniero de ciberseguridad, Lex
Crumpton, también explicaron en un
aviso separado
que los actores de amenazas comprometieron una de las VPN de MITRE al
encadenar dos días cero de Ivanti Connect Secure. También pudieron eludir las
defensas de autenticación multifactor (MFA) mediante el uso del secuestro de
sesión, lo que les permitía moverse lateralmente a través de la
infraestructura VMware de la red violada utilizando una cuenta de
administrador secuestrada.
A lo largo del incidente, los delincuentes informáticos utilizaron una
combinación de sofisticados webshells y puertas traseras para mantener
el acceso a los sistemas y recopilar credenciales.
Desde principios de diciembre, las dos vulnerabilidades de seguridad, una
omisión de autenticación (CVE-2023-46805) y una inyección de comando
(CVE-2024-21887), se han aprovechado para implementar
múltiples familias de malware con fines de espionaje.
Mandiant ha vinculado estos ataques a una amenaza persistente avanzada (APT)
que rastrea como UNC5221, mientras que
Volexity informó
haber visto señales de que actores de amenazas patrocinados por el estado
chino estaban explotando los dos días cero.
Volexity dijo que los atacantes chinos abrieron puertas traseras en más de
2.100 dispositivos Ivanti, recopilando y robando datos de cuentas y sesiones
de las redes violadas. Las víctimas variaban en tamaño, desde pequeñas
empresas hasta algunas de las organizaciones más grandes del mundo, incluidas
empresas Fortune 500 de diversos sectores industriales.
Debido a su explotación masiva y a la vasta superficie de ataque,
CISA emitió la primera directiva
de emergencia de este año el 19 de enero, ordenando a las agencias federales
que mitiguen los días cero de Ivanti de inmediato.
Fuente:
BC
