O MITRE compartilhou mais detalhes sobre o hack divulgado recentemente, incluindo o novo malware envolvido no ataque, informações de atribuição e um cronograma das atividades do invasor. A organização sem fins lucrativos que opera centros de pesquisa e desenvolvimento em nome do governo dos EUA, revelou em 19 de abril que hackers tinham como alvo seu ambiente de experimentação, pesquisa e virtualização em rede (NERVE), uma rede colaborativa usada para pesquisa, desenvolvimento e prototipagem.
Os hackers obtiveram acesso inicial por meio da exploração de vulnerabilidades de dia zero no dispositivo Ivanti Connect Secure VPN rastreadas como CVE-2023-46805 e CVE-2024-21887. Os dias zero foram explorados por um grupo de ciberespionagem ligado à China — rastreado pela Mandiant como UNC5221 — em ataques direcionados durante semanas antes de a sua existência vir à tona e a Ivanti lançar medidas de mitigação. A lista de vítimas incluía a agência de segurança cibernética CISA, que afirmou que o incidente poderia afetar até 100 mil pessoas.
O MITRE inicialmente culpou um operador de ameaças patrocinado por um Estado-nação pelo ataque, mas não compartilhou mais detalhes. Numa postagem de acompanhamento, a organização esclareceu que os indicadores de comprometimento (IoCs) observados durante a investigação do incidente se sobrepõem aos atribuídos pela Mandiant ao UNC5221, grupo ligado à China.
Inicialmente, o MITRE disse que o ataque ocorreu no início de janeiro, mas agora revelou que as primeiras evidências de intrusão datam de 31 de dezembro de 2023. Foi quando os hackers exploraram os dias zero da Ivanti para acesso inicial à rede NERVE. Em 4 de janeiro deste ano, os hackers começaram a traçar perfis do ambiente, interagindo com hosts VMware vCenter e ESXi.
Veja isso
MITRE é violada por meio de bugs de dia zero em sistema da Ivanti
MITRE lança estrutura de modelo de ameaça a infraestrutura crítica
O MITRE só descobriu a intrusão em abril. Entre meados de fevereiro e meados de março, os hackers mantiveram a persistência no ambiente NERVE e tentaram o movimento lateral, mas não conseguiram migrar para outros recursos. A organização, que é conhecida por sua base de conhecimento de táticas e técnicas de ataques, disponibilizou detalhes técnicos sobre cada malware envolvido no ataque, juntamente com IoCs adicionais.
As vulnerabilidades dos produtos Ivanti usadas no hack do MITRE foram amplamente exploradas desde que sua existência se tornou publicamente conhecida, sendo usadas para comprometer centenas de dispositivos, incluindo aqueles hospedados por organizações governamentais, de telecomunicações, de defesa e de tecnologia. Patches adequados só foram lançados no final de janeiro.
Acesse o relatório sobre a exploração das vulnerabilidades de dia zero no dispositivo Ivanti Connect Secure VPN clicando aqui.
