MITRE Corporation von staatlichen Hackern angegriffen
Die MITRE Corporation, eine amerikanische, aber weltweit bedeutende Non-Profit-Organisation zur Verbesserung der Cybersicherheit, wurde im Januar Opfer einer offensichtlich staatlich unterstützten Hackergruppe. Der Angreifer nutzte zwei bis dahin unbekannte Schwachstellen in Ivanti Connect Secure Appliances aus. Dadurch gelang es ihm, in das Forschungs- und Prototyping-Netzwerk des Unternehmens einzudringen und es zu kompromittieren.
Da haben die Angreifer im wahrsten Sinne des Wortes einen „NERVE“ (Networked Experimentation, Research, and Virtualization Environment) getroffen: Der unbekannte Angreifer „führte eine Erkundung unserer Netzwerke durch. Dabei nutzte er zwei bisher unbekannte Schwachstellen (Zero-Day) in Ivanti Connect Secure, um über eines unserer Virtual Private Networks (VPNs) einzudringen. Zudem konnte der Angreifer unsere Multi-Faktor-Authentifizierung durch Session Hijacking umgehen“, so ein Experte für defensive Cyberoperationen bei der gemeinnützigen Organisation.
Der Angriff nutzte die Sicherheitslücken CVE-2023-46805 (CVSS-Score: 8.2) und CVE-2024-21887 (CVSS-Score: 9.1) aus. Diese Lücken ermöglichten es ihm, die Authentifizierung zu umgehen und beliebige Befehle auf dem infizierten System auszuführen.
Nachdem er anfänglichen Zugriff erlangt hatte, bewegte sich der Angreifer seitlich und drang über ein kompromittiertes Administratorkonto in die VMware-Infrastruktur ein. Dadurch konnte er Backdoors und Web-Shells bereitstellen, um Persistenz zu gewährleisten und Anmeldeinformationen zu sammeln.
Zentrales Unternehmensnetzwerk nicht betroffen
Laut MITRE ist NERVE ein gemeinschaftliches Netzwerk ohne Geheimhaltungsstufe, das Speicher-, Rechen- und Netzwerkressourcen bereitstellt. Bisher gibt es keine Hinweise darauf, dass der Vorfall MITREs zentrales Unternehmensnetzwerk oder die Systeme von Partnern betroffen hat.
Die Organisation hat seitdem Maßnahmen ergriffen, um den Vorfall einzudämmen. Dazu gehören Reaktions- und Wiederherstellungsmaßnahmen sowie forensische Analysen, um das Ausmaß der Kompromittierung zu verstehen.
Die Ausnutzung der beiden Schwachstellen wurde zunächst einem Cluster namens UTA0178 zugeschrieben, der von der Cybersecurity-Firma Volexity verfolgt wird. UTA0178 ist ein nationaler Akteur, der wahrscheinlich mit China in Verbindung steht. Seitdem haben laut Mandiant mehrere andere Hackergruppen mit Verbindungen zu China begonnen, diese Schwachstellen auszunutzen.
„Keine Organisation ist vor dieser Art von Cyberangriff gefeit, nicht einmal eine, die sich um die höchstmögliche Cybersicherheit bemüht“, so Jason Providakes, Präsident und CEO von MITRE.
„Wir informieren über diesen Vorfall rechtzeitig, da wir uns verpflichtet haben, im öffentlichen Interesse zu handeln und bewährte Praktiken zu fördern, welche die Sicherheit von Unternehmen verbessern und zur Stärkung der Cyberverteidigung in der Branche beitragen.“
mehr zum Thema MITRE lesen Sie im folgenden <kes>+ Beitrag:
Denken wie ein Hacker: Dieser Blickwinkel auf Cybersecurity hilft wie kein anderer dabei, die eigene IT besser zu schützen. Was wollen Angreifer und wie erreichen sie ihre Ziele? Mit einem Profiling der Gegenseite können Security-Teams ihr leichter einen Schritt voraus sein. Da vertrauenswürdige Hacker als Helfer im Unternehmen rar sind, hat die Mitre Corporation vor fünf Jahren begonnen ihr ATT&CK Framework zu entwickeln, um diese Wissenslücke zuschließen.