🔴 Zhackowali sieć jednej z najbezpieczniejszych firm na świecie – MITRE. Ominęli dwuczynnikowe uwierzytelnienie. Do sieci badawczej NERVE dostali się przez podatny system VPN.

Jeśli ktoś pasjonuje się cyberbezpieczeństwem, najpewniej słyszał o MITRE. CVE, czy program ATT&CK – za nimi właśnie stoi wspomniana korporacja.

Co się wydarzyło? MITRE relacjonuje akcję niemal na jednym wydechu:

❌ Atakujący użyli dwóch podatności 0day w systemie VPN Ivanti (patrz też: zhackowana amerykańska agencja odpowiedzialna za cyberbezpieczeństwo (CISA). Zaatakowali system VPN)
❌ Ominęli 2FA poprzez przejęcie identyfikatorów sesji (czyli przejęli dostęp do już zalogowanych przez VPNa kont). W tym przypadku nie ma znaczenia jakiego typu dwuczynnikowego uwierzytelnienia użyjemy (nie pomogą nawet klucze sprzętowe)
❌ Zinfiltrowali podsieć ze zwirtualizowanymi serwerami, korzystając z przejętego dostępu administratora
❌ Użyli backdoorów / webshelli w celu zapewnienia trwałego dostępu do organizacji oraz dalszego wykradania danych logowania użytkowników (wewnętrz sieci)

Jako atakujących wskazano, zagraniczną grupę hackerską klasy APT (foreign nation-state threat actor).

Co zostało zrealizowane w ramach odparcia ataku?

✅ Odcięcie zainfekowanych systemów i sieci od reszty infrastruktury (co ciekawe, nie było to takie proste – zainfekowana sieć miała łączność z masą innych sieci wewnątrz organizacji – pomogła tutaj o wiele wcześniej przygotowana inwentaryzacja zasobów IT)

✅ Powołany został na gorąco odpowiedni team zarządzający incydentem – również w kontekście koordynacji informacji przekazywanych do odpowiednich zespołów (w tym jednostek biznesowych)

✅ Odpalenie technicznej analizy – co zostało zhackowane oraz jak daleko atakujący weszli w infrastrukturę firmy. MITRE wskazuje, że najbardziej pomocny był tutaj centralny system agregacji logów (np. z firewalli, IDSów, antywirusów, systemów operacyjnych)

✅ Zainfekowane systemy zostały poddane analizie, a w ich miejsce zaczęto przygotowywać zastępniki (czas, który był potrzebny na akcję: ~2 tygodnie)

✅ Komunikacja z zewnętrznymi organizacjami (klienci, akcjonariusze, opinia publiczna, społeczność ITsec). Tutaj jedną z najtrudniejszych rzeczy był balans w temacie: ile można / należy ujawnić – a czego lepiej nie

✅ Wdrożenie nowych czujek/sposobów monitorowania infrastruktury IT – tak żeby wyłapać ew. ślady atakujących w sieci; ale też  żeby jeszcze lepiej monitorować całość na przyszłość

🚑 Rekomendacje MITRE dla innych firm, które mogą paść ofiarą podobnych cyberataków:

✅ Monitorowanie anomalii jeśli chodzi o połączenia VPN (nietypowe godziny, nietypowe kraje, z których nawiązywane są połączenia VPN, nietypowo duży ruch VPN)

✅ Analiza nietypowych godzin logowania do systemów

✅ Wreszcie zabranie się za sensowną segmentację sieci (czyli poddział na podsieci, ale też filtrowanie ruchu pomiędzy nimi)

✅ Korzystanie z baz reputacyjnych jeśli chodzi o adresy IP (w takich bazach pojawiają się informacje klasy: z których adresów są realizowane fraudy/ataki). Odpowiednie blokowanie takich adresów. Na końcu tego wpisu – udostępniamy Wam szkolenie w tym temacie, które realizowaliśmy niedawno w ramach https://sekurak.academy/

✅ Rozważenie korzystania z honeypotów (mamy wczesne ostrzeżenia o ataku; ale również możemy poznać techniki jakich używa atakujący po przełamaniu zabezpieczeń – w tym przypadku podpuchy-honeypota).

Na koniec MITRE wskazuje główne trzy obszary, które zamierza jeszcze bardziej wzmocnić:

✅ Skanowanie podatności / pentesty swojej infrastruktury
✅ Szkolenia dla pracowników (zarówno dla adminów / osób odpowiedzialnych za bezpieczeństwo IT w organizacji, ale też szkolenia cyberawareness – dla wszystkich pracowników)
✅ Dodatkowe zabezpieczenia infrastruktury IT (np. wspomniane wcześniej czujki, analiza anomalii, czy przemyślenie kwestii segmentacji sieci)

Adresy wątpliwej reputacji – obiecany wyżej link do sekurakowego szkolenia.

~ms