MITRE alvo de ataque por grupo patrocinado por Estado-nação

Uma das redes de investigação e desenvolvimento do MITRE, uma organização sem fins lucrativos que gere centros de I&D financiados pelo governo federal que apoia várias agências governamentais dos EUA, foi atacada por um grupo de ameaças de Estado-nação estrangeiro, aproveitando as vulnerabilidades de zero-day num produto da Ivanti.

O alvo principal era o Ambiente de Experimentação, Investigação e Virtualização em Rede (NERVE) do MITRE, uma rede colaborativa, não classificada, utilizada para fins de investigação, desenvolvimento e prototipagem.

O ataque, que ocorreu no início de janeiro de 2024, foi agora tornado público. O alerta partiu da empresa de cibersegurança Volexity, que alertou para a exploração de duas vulnerabilidades do dispositivo Ivanti Connect Secure VPN para acesso inicial por parte de cibercriminosos, apoiados pelo governo chinês, para comprometerem dispositivos VPN Ivanti.

As vulnerabilidades, rastreadas como CVE-2023-46805 e CVE-2024-21887, eram de zero-days no momento do ataque. 

A Ivanti disponibilizou mitigações para fazer face à situação, tendo demorado quase três semanas a lançar os patches adequados.

De acordo com o MITRE, os ciberatacantes efetuaram um reconhecimento, exploraram os zero-days do Ivanti e contornaram o seu sistema de autenticação multi-fator, utilizando o sequestro de sessões. Empregaram depois uma combinação de backdoors sofisticados e webshells para manter a persistência e a recolha das credenciais.

A investigação prossegue, mas não existem, até ao momento, evidências de que a principal rede corporativa ou o sistema de parceiros do MITRE tenham sido afetados pelo incidente.

As vulnerabilidades em causa foram também usadas para invadir sistemas da CISA, que revelou no início deste mês que o incidente poderia afetar 100 mil pessoas.