MITRE Corporation ยืนยันว่าพบเหตุการณ์ที่คาดว่ามาจากกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ ได้โจมตีระบบระบบของพวกเขาในเดือนมกราคม 2024 ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN
เหตุการณ์ดังกล่าวถูกพบภายหลังจากการตรวจสอบพฤติกรรมที่น่าสงสัยใน Networked Experimentation, Research and Virtualization Environment (NERVE) ของ MITRE ซึ่งเป็นเครือข่ายความร่วมมือที่ไม่ได้ถูกจัดแบ่งประเภท ซึ่งใช้สำหรับการวิจัย และพัฒนา
MITRE ได้แจ้งฝ่ายที่ได้รับผลกระทบเกี่ยวกับการโจมตีดังกล่าว ทำการติดต่อหน่วยงานที่เกี่ยวข้อง และขณะนี้กำลังดำเนินการฟื้นฟูการทำงานของระบบ
หลักฐานที่รวบรวมได้ระหว่างการสอบสวนจนถึงตอนนี้แสดงให้เห็นว่าการโจมตีครั้งนี้ไม่ส่งผลกระทบต่อระบบเครือข่ายหลักขององค์กร หรือระบบของพันธมิตร
Jason Providakes ซีอีโอของ MITRE ระบุเมื่อวันศุกร์ที่ผ่านมาว่า “ไม่มีองค์กรใดสามารถรอดพ้นจากการโจมตีทางไซเบอร์ลักษณะนี้ ไม่แม้แต่องค์กรที่พยายามรักษาความปลอดภัยทางไซเบอร์ให้สูงที่สุดเท่าที่จะเป็นไปได้”
"MITRE จะเปิดเผยรายละเอียดของเหตุการณ์นี้ในช่วงเวลาที่เหมาะสม เนื่องจากความมุ่งมั่นที่จะดำเนินงานเพื่อประโยชน์สาธารณะ และเพื่อสนับสนุนแนวทางปฏิบัติที่ดีที่สุดที่ยกระดับความปลอดภัยขององค์กร ตลอดจนมาตรการที่จำเป็นเพื่อปรับปรุงแนวทางการป้องกันทางไซเบอร์ในปัจจุบันของอุตสาหกรรม"
MITRE CTO Charles Clancy และวิศวกรความปลอดภัยทางไซเบอร์ Lex Crumpton ยังได้อธิบายเพิ่มเติมว่า ผู้โจมตีได้โจมตีหนึ่งใน Virtual Private Networks (VPN) ของ MITRE ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN
โดยผู้โจมตีสามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้โดยใช้วิธีการ session hijacking ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐาน VMware ของเครือข่ายที่ถูกโจมตีโดยใช้บัญชีผู้ดูแลระบบที่ได้มา
ตลอดเหตุการณ์ที่เกิดขึ้น แฮ็กเกอร์ใช้การผสมผสานระหว่าง webshells และแบ็คดอร์ที่มีความซับซ้อนเพื่อรักษาการเข้าถึงระบบที่ถูกแฮ็ก และขโมยข้อมูล credentials
โดยตั้งแต่ต้นเดือนธันวาคม 2023 ช่องโหว่ด้านความปลอดภัยทั้งสองรายการ ได้แก่ auth bypass (CVE-2023-46805) และ command insert (CVE-2024-21887) ได้ถูกนำไปใช้กับมัลแวร์หลายตระกูลเพื่อวัตถุประสงค์ในการโจมตีทางไซเบอร์
Mandiant ได้เชื่อมโยงการโจมตีเหล่านี้กับกลุ่ม APT ที่ถูกติดตามในชื่อ UNC5221 ในขณะที่ Volexity รายงานว่าเห็นสัญญาณที่แสดงให้เห็นว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนกำลังใช้ประโยชน์จาก zero-days ทั้งสองรายการ
Volexity ระบุว่าแฮ็กเกอร์ชาวจีนติดตั้งแบ็คดอร์บนอุปกรณ์ Ivanti ไปมากกว่า 2,100 เครื่อง เพื่อขโมยข้อมูลบัญชี และ session จากเครือข่ายที่ถูกโจมตี ซึ่งเหยื่อมีตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรที่ใหญ่ที่สุดทั่วโลก รวมถึงบริษัทที่ติดอันดับ Fortune 500 จากกลุ่มอุตสาหกรรมต่าง ๆ
เนื่องจากการโจมตีจำนวนมาก และ attack surface ที่กว้างขวาง CISA จึงออกคำสั่งฉุกเฉินฉบับแรกของปีนี้เมื่อวันที่ 19 มกราคม 2024 โดยสั่งให้หน่วยงานรัฐบาลกลางดำเนินการเพื่อลดผลกระทบจากช่องโหว่ Zero-Day ใน Ivanti ทันที
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.