Американская корпорация MITRE, занимающаяся координацией федерально финансируемых научных исследований, подверглась атаке хакеров в январе этого года. Неизвестные злоумышленники использовали две уязвимости в продуктах IT-компании Ivanti для выполнения разведывательных операций в сетях организации через одну из VPN-служб.
Уязвимости, получившие обозначения CVE-2023-46805 и CVE-2024-21887, были активно использованы для атак на не менее десяти клиентов Ivanti. Ответственность за эксплуатацию этих уязвимостей приписывается китайским хакерам, спонсируемых государством.
Как сообщает технический директор MITRE Чарльз Клэнси, в результате атаки пострадала сеть, используемая для совместных исследований и разработок, где проводится прототипирование и другие виды работ. Организация подчеркнула, что нет никаких признаков того, что основная корпоративная сеть MITRE или системы партнёров были затронуты атакой.
Хакеры проникли в систему через устройство Ivanti Connect Secure на периметре сети, а затем переместились в инфраструктуру VMware до того, как уязвимость стала общеизвестной.
MITRE следовала рекомендациям правительства и Ivanti по обновлению, замене и усилению защиты своих систем, однако не смогла обнаружить перемещение хакеров по сети. Организация признала, что предпринятые меры были недостаточными.
Расследование инцидента всё ещё продолжается, и MITRE рассматривает его как показательную историю о том, как даже организации с высоким уровнем киберзащиты могут стать жертвами сложных атак.
В дополнение, MITRE обещает предоставить более подробную информацию о технических аспектах атаки в ближайшие недели и уже предложила список рекомендаций для других организаций, основанный на своём опыте.
Ранее Google опубликовала в своём блоге описание инцидента, связанного с теми же уязвимостями, показывая масштаб проблемы, с которой сталкиваются многие правительства и ведущие организации, включая даже американское Агентство по кибербезопасности и инфраструктурной безопасности (CISA).