中国の国家ハッカーがIvantiの脆弱性を利用して、MITRE Corp.の未分類ネットワークに3ヶ月間「深い」アクセスを得た。MITREは、一般に知られているサイバー攻撃技術のATT&CK用語集の管理者であり、15年間大きなインシデントがなかったが、今年1月、他の多くの組織と同様に、そのIvantiゲートウェイデバイスが中国の国家支援ハッカーグループUNC5221(別名UTA0178)によって悪用された。この侵害は、研究、開発、プロトタイピング用の未分類の協力ネットワークであるNetworked Experimentation, Research, and Virtualization Environment(NERVE)に影響を与えた。NERVEの被害の範囲は現在評価中である。
攻撃者は、MITREの仮想プライベートネットワーク(VPN)の1つを2つのIvanti Connect Secureゼロデイ脆弱性を利用して侵害し(ATT&CK技術T1190、Exploit Public-Facing Applications)、システムを保護する多要素認証(MFA)をセッションハイジャック(MITRE ATT&CK T1563、Remote Service Session Hijacking)で回避した。さらに、リモートデスクトッププロトコル(RDP)とセキュアシェル(SSH)を含む複数のリモートサービス(T1021、Remote Services)を利用し、有効な管理者アカウント(T1078、Valid Accounts)へのアクセスを試み、ネットワークのVMware仮想化インフラストラクチャ内で「深く」掘り下げた。そこでは、持続性のためにWebシェル(T1505.003、Server Software Component: Web Shell)を展開し、コマンドを実行(T1059、Command and Scripting Interpreter)し、資格情報を盗み、盗まれたデータをコマンドアンドコントロールサーバーにエクスフィルトレーションするためのバックドアを使用した(T1041、Exfiltration Over C2 Channel)。この活動を隠すために、グループは環境内で実行するための自身の仮想インスタンスを作成した(T1564.006、Hide Artifacts: Run Virtual Instance)。
【ニュース解説】
中国の国家支援ハッカーグループが、セキュリティソフトウェア企業Ivantiの脆弱性を突いて、MITRE Corp.の未分類ネットワークに3ヶ月間深くアクセスした事件が発生しました。MITREは、サイバー攻撃技術に関する広く使用される用語集ATT&CKの管理者であり、これまで15年間大きなセキュリティ侵害を経験していませんでした。しかし、今年1月、Ivantiのゲートウェイデバイスが悪用され、研究、開発、プロトタイピングを目的とした未分類の協力ネットワークであるNERVEが影響を受けました。
攻撃者は、Ivanti Connect Secureの2つのゼロデイ脆弱性を利用してMITREのVPNに侵入し、多要素認証(MFA)をセッションハイジャックで回避しました。その後、リモートデスクトッププロトコル(RDP)やセキュアシェル(SSH)などのリモートサービスを利用して有効な管理者アカウントにアクセスし、MITREのVMware仮想化インフラストラクチャ内で深く掘り下げました。攻撃者は、持続性を確保するためにWebシェルを展開し、コマンド実行や資格情報の盗難、データの外部送信にバックドアを使用しました。また、活動を隠蔽するために環境内で自身の仮想インスタンスを作成しました。
この事件は、いくつかの重要な点を浮き彫りにしています。まず、国家支援ハッカーグループによるサイバー攻撃の高度化が進んでいること、そして、セキュリティ対策の重要性がますます高まっていることです。特に、ゼロデイ脆弱性の存在は、組織がいかに迅速に対応し、システムを更新しても、常に新たな脅威にさらされる可能性があることを示しています。
また、この事件は、サイバーセキュリティの専門家でさえも、高度な攻撃から完全には守りきれない可能性があることを示しています。攻撃者が多要素認証を回避し、長期間にわたってネットワーク内で活動できたことは、セキュリティ対策の見直しと強化の必要性を強調しています。
このような攻撃から組織を守るためには、定期的なセキュリティ監査、脆弱性の迅速な修正、従業員のセキュリティ意識の向上、そして異常な活動を検出するための高度な監視システムの導入が不可欠です。さらに、攻撃が発生した場合に備えて、迅速に対応し、影響を最小限に抑えるための事前計画も重要です。
最後に、この事件は、サイバーセキュリティが国家間の対立や競争の一環として利用される現代において、国際的な協力と情報共有の重要性を再確認させます。サイバー空間の安全を確保するためには、国境を越えた連携と努力が必要です。
from MITRE ATT&CKED: InfoSec's Most Trusted Name Falls to Ivanti Bugs.
