ABD hükümeti için araştırma ve geliştirme merkezleri işleten, kar amacı gütmeyen bir kuruluş olan MITRE Corporation, son zamanlarda gelişmiş ulus devlet bilgisayar korsanlarının şirketin iç araştırma ve geliştirme ağlarından birini tehlikeye attığını açıkladı.
UNC5221 olarak bilinen Çinli bir tehdit grubu tarafından gerçekleştirildiğine inanılan saldırıda, ilk erişim elde etmek için Ivanti Connect Secure VPN cihazlarındaki iki sıfır gün güvenlik açığından yararlanıldı.
MITRE’nin olayla ilgili derinlemesine teknik incelemesine göre, saldırganlar ilk olarak Ivanti’nin savunmasız cihazlarını tespit etmek için keşif gerçekleştirdi.
Daha sonra, MITRE’nin Ağa Bağlı Deney, Araştırma ve Sanallaştırma Ortamı (NERVE) ağını ihlal etmek için, kimlik doğrulamanın atlanmasına ve rastgele komut yürütülmesine izin veren iki kritik kusur olan CVE-2023-46805 ve CVE-2024-21887’den yararlandılar.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Bir dayanak noktası oluşturduktan sonra bilgisayar korsanları, VMware ortamında yatay olarak hareket ederek bu süreçte en az bir yönetici hesabını ele geçirdi.
Kalıcı erişimi sürdürmek için web kabukları ve arka kapılar kurdular ve ağdan açıklanmayan miktarda veri sızdırdılar.
MITRE’nin siber güvenlik ekibi izinsiz girişi tespit etti ve saldırıyı kontrol altına almak için olay müdahale protokollerini derhal etkinleştirdi.
Kuruluş, sınıflandırılmamış araştırma ve prototip oluşturma için kullanılan NERVE ağının, güvenli ve operasyonel kalan iş ağlarından ve halka açık ağlardan ayrı olduğunu doğruladı.
MITRE şüpheli Çinli bilgisayar korsanlarının isimlerini vermese de, Mandiant gibi güvenlik firmaları UNC5221 ve diğer Çinli tehdit aktörlerinin son aylarda aynı Ivanti sıfır günlerinden yararlandığını, genellikle yatay hareket ve veri hırsızlığı için benzer uzlaşma sonrası taktikler kullandıklarını gözlemledi.
Uzmanlar, ihlalin kapsamı sınırlı olmakla birlikte, ulusal güvenlik ve ileri teknoloji araştırmalarıyla ilgilenen kuruluşların karşı karşıya olduğu süregelen riskleri vurguladığı konusunda uyarıyor.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free
.
Critical Start Siber Tehdit Araştırması Kıdemli Müdürü Callie Guenther, “Saldırının karmaşıklığı ve doğası, ulusal güvenlik ve ileri teknolojik araştırmalarla ilgilenen kuruluşların karşılaştığı devam eden risklerin altını çiziyor” dedi.
MITRE, olayı araştırmak ve failleri tespit etmek için federal kolluk kuvvetleri ve sponsorlarıyla birlikte çalışıyor.
Kuruluş, gelecekte benzer saldırıların önlenmesine yardımcı olmak için bulguları siber güvenlik topluluğuyla paylaşmayı planlıyor.
MITRE başkanı ve CEO’su Jason Providakes, “Hiçbir kuruluş bu tür siber saldırılara karşı bağışık değildir, mümkün olan en yüksek siber güvenliği sağlamaya çalışan bir kuruluş bile” dedi.
Bu olay, ulus devlet korsanlarının oluşturduğu her zaman mevcut tehdidin ve güvenlik konusunda en bilinçli kuruluşlar için bile sağlam siber güvenlik önlemlerinin öneminin açık bir hatırlatıcısı olarak hizmet ediyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide