Yönetişim ve Risk Yönetimi, Olay ve İhlallere Müdahale, Yama Yönetimi
Tehdit Aktörü, Siber Saldırıda Ivanti’nin Sıfır Gün Güvenlik Açıklarından Yararlandı
Chris Riotta (@chrisriotta) •
19 Nisan 2024
ABD hükümeti için siber güvenlik araştırmalarında faaliyet gösteren, federal olarak finanse edilen bir araştırma ve geliştirme merkezi olan Mitre, Cuma günü bir ulus devlet tehdit aktörünün sınıflandırılmamış araştırma ve geliştirme ağlarından birini ihlal ettiğini söyledi.
Ayrıca bakınız: Güvenlik Açıklarına Öncelik Verme Hakkında Bilmeniz Gereken 3 Şey
Saldırıyı ayrıntılarıyla anlatan bir blog yazısında, kuruluşun Nisan ayında şüpheli etkinlik tespit ettikten sonra Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamını çevrimdışına aldığı belirtildi. Yapılan bir araştırma, tehdit aktörünün Mitre’nin Sanal Özel Ağlarını hedeflemek için iki Ivanti Connect Secure sıfır gün güvenlik açığından yararlandığını, ardından güvenliği ihlal edilmiş bir yönetici hesabı kullanarak kuruluşun VMware altyapısının derinliklerine indiğini ortaya çıkardı (bkz.: Tehdit Bilgili Savunma Merkezi).
Mitre başkanı ve CEO’su Jason Providakes, “Hiçbir kuruluş bu tür bir siber saldırıya karşı bağışık değildir, mümkün olan en yüksek siber güvenliği sağlamaya çalışan bir kuruluş bile” dedi. Kendisi, örgütün “kamu yararına faaliyet gösterme ve kurumsal güvenliği artıran en iyi uygulamaları savunma” taahhüdü nedeniyle olayı açıklamaya karar verdiğini de sözlerine ekledi.
Mitre, ihlalle ilgili devam eden soruşturma hakkında ek yorum yapmayı reddetti ancak şu anda ana kurumsal ağının veya ortak sistemlerinin etkilendiğine dair bir gösterge olmadığını söyledi.
Kâr amacı gütmeyen kuruluş, onlarca yıldır devlete ait, yüklenici tarafından işletilen araştırma merkezlerinde kamu-özel sektör ortaklıklarına öncülük ediyor, çeşitli federal kurumları ve misyonlarını desteklemek için araştırma ve prototip oluşturma projeleri yürütüyor. Mitre şu anda aralarında Savunma, Hazine, İç Güvenlik ve Sağlık ve İnsan Hizmetleri Bakanlıklarının da bulunduğu devlet kurumu sponsorları adına federal olarak finanse edilen altı araştırma ve geliştirme merkezini işletmektedir.
Örgüt, federal araştırma ve geliştirme merkezlerinin hükümete “kurumsal tavsiye, uzun vadeli kurumsal hafıza ve derin teknik bilgi” sağlamaya yardımcı olduğunu söylüyor.
Blog gönderisine göre Mitre, kuruluşun kurum içi uzmanlarıyla birlikte siber saldırıya ilişkin kendi analizlerini gerçekleştirmek için bağımsız dijital adli tıp olay müdahale ekiplerini işe aldı. Bilgisayar korsanları, çok faktörlü kimlik doğrulama gereksinimlerini atlamak için oturum ele geçirmeyi kullandı, ardından “kalıcılığı korumak ve kimlik bilgilerini toplamak için karmaşık arka kapılar ve web kabuklarının bir kombinasyonunu kullandı.”
Kuruluş başlangıçta Ivanti sistemini satıcı talimatları ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın sıfır gün açıklarına ilişkin tavsiyesi doğrultusunda yükselttikten, değiştirdikten ve güçlendirdikten sonra sistemlerini güvence altına aldığını düşünüyordu. Ancak Mitre görünüşe göre VMware altyapısındaki yanal hareketi tespit edemedi.
Gönderide, “O zamanlar güvenlik açığını azaltmak için gerekli tüm önlemleri aldığımıza inanıyorduk, ancak bu eylemler açıkça yetersizdi.” yazıyordu.
Tehdit aktörü, ağa girdikten sonra veri sızdırmak ve VMware ortamında kalıcı varlığını sürdürmek için güvenliği ihlal edilmiş hesaplardan yararlanmaya devam etti. Mitre, sonunda tehlikeye atılan sistemi kontrol altına aldığını ve projeleri yeni ortamlara taşımak için bir prosedür oluşturduğunu, en yüksek öncelikli projelerin iki haftadan kısa bir süre içinde “temiz ortamlarda” tekrar çevrimiçi olmasının beklendiğini söyledi.
Mitre, ek güvenlik önlemleri uygulayarak, çalışan eğitim ve farkındalık programlarını geliştirerek ve siber güvenlik duruşunun kapsamlı bir incelemesini yaparak savunmasını güçlendirmeyi planladığını söyledi. Kuruluş ayrıca güvenlik açığı değerlendirmeleri ve sızma testlerindeki potansiyel zayıflıkları tespit etmeyi ve gidermeyi hedefleyeceğini söyledi.