MITRE Corporation, devlet destekli bir bilgisayar korsanlığı grubunun Ocak 2024’te iki Ivanti VPN sıfır gününü zincirleyerek sistemlerini ihlal ettiğini söylüyor.
Olay, araştırma ve geliştirme için kullanılan, sınıflandırılmamış bir işbirlikçi ağ olan MITRE’nin Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamı’nda (NERVE) şüpheli aktivite tespit edildikten sonra keşfedildi.
MITRE o zamandan beri etkilenen tarafları ihlal konusunda bilgilendirdi, ilgili makamlarla temasa geçti ve şu anda “operasyonel alternatifleri” geri yüklemek üzerinde çalışıyor.
Soruşturma sırasında şu ana kadar toplanan kanıtlar, bu ihlalin kuruluşun ana kurumsal ağını veya ortaklarının sistemlerini etkilemediğini gösteriyor.
MITRE CEO’su Jason Providakes, “Hiçbir kuruluş bu tür siber saldırılara karşı bağışık değildir, mümkün olan en yüksek siber güvenliği sağlamaya çalışan bir kuruluş bile” dedi.
“Kamu yararına faaliyet gösterme ve kurumsal güvenliği artıran en iyi uygulamaları ve sektörün mevcut siber savunma duruşunu iyileştirmek için gerekli önlemleri savunma taahhüdümüz nedeniyle bu olayı zamanında açıklıyoruz.”
MITRE, Cuma günü yayınlanan ayrı bir danışma belgesinde, tehdit aktörlerinin iki Ivanti Connect Secure sıfır gününü zincirleyerek Sanal Özel Ağlarından (VPN’ler) birini tehlikeye attığını açıkladı.
Ayrıca, oturum ele geçirmeyi kullanarak çok faktörlü kimlik doğrulama (MFA) savunmalarını atlayabilirler; bu da ele geçirilen bir yönetici hesabını kullanarak ihlal edilen ağın VMware altyapısında yanal olarak hareket etmelerine olanak tanır.
Olay boyunca tehdit grubu, saldırıya uğramış sistemlere erişimi sürdürmek ve kimlik bilgilerini toplamak için gelişmiş web kabukları ve arka kapılardan oluşan bir kombinasyon kullandı.
Aralık ayının başından bu yana, kimlik doğrulama atlama (CVE-2023-46805) ve komut ekleme (CVE-2024-21887) adlı iki güvenlik açığı, casusluk amacıyla birden fazla kötü amaçlı yazılım ailesini dağıtmak için istismar edildi.
Mandiant, bu saldırıları UNC5221 olarak takip ettiği gelişmiş kalıcı tehdide (APT) bağlarken Volexity, Çin devleti destekli tehdit aktörlerinin iki sıfır günü istismar ettiğine dair işaretler gördüğünü bildirdi.
Volexity, Çinli bilgisayar korsanlarının 2.100’den fazla Ivanti cihazına arka kapı açarak ihlal edilen ağlardan hesap ve oturum verilerini toplayıp çaldığını söyledi. Kurbanların boyutları küçük işletmelerden dünya çapındaki en büyük kuruluşlara kadar uzanıyordu; bunlar arasında çeşitli sektörlerden Fortune 500 şirketleri de vardı.
Kitlesel kullanımları ve geniş saldırı yüzeyi nedeniyle CISA, 19 Ocak’ta bu yılın ilk acil durum direktifini yayınlayarak federal kurumlara Ivanti sıfır günlerini derhal azaltmalarını emretti.