MITRE deelt meer details over de werkwijze van de aanvallers die eerder dit jaar het eigen netwerk compromitteerden. Er wordt voornamelijk aandacht besteed aan de vraag hoe de aanvallers zo lang onopgemerkt aanwezig bleven.
MITRE heeft meer informatie verzameld over het hack op het eigen netwerk. De aanvallers bleven maanden onopgemerkt en de analyse geeft meer inzicht in de werkwijze van de aanvallers om dit mogelijk te maken.
Rogue VM’s
Zo blijkt dat er rogue virtual machines (VM’s) werden opgezet. De VM’s bleken niet op de radars van beheerders te verschijnen doordat de aanvallers ze direct op de hypervisor aanmaakten en beheerden. MITRE gebruikt wel de beheeroplossing vCenter voor het beheer van VM’s, maar de hackers konden daar langs af gaan door de VM’s rechtstreeks op service-accounts op de hypervisor aan te maken.
Het originele punt van toegang bleek een gecompromitteerd admin-account te zijn. Dat was mogelijk door de uitbuiting van twee zero-day-kwetsbaarheden in Ivanti Connect Secure. Op die manier omzeilden de hackers de multifactor authenticatie. De aanvallers kregen daardoor toegang tot VMware-infrastructuur. Toch verschenen de aangemaakte VM’s ook niet op de ESXi-webinterface. De analyse geeft daar dezelfde verklaring voor. MITRE geeft aan dat er speciale tools en technieken nodig zijn om rogue VM’s te ontdekken.
Lees ook: MITRE ontdekte Chinese hack pas maanden na exploitatie
Chinese hackers
Het bedrijf heeft daarnaast officieel vastgesteld dat de hackers van Chinese origine zijn. Daar waren eerder reeds vermoedens over. De hackers zouden het gemunt hebben op de Amerikaanse overheid, waar MITRE als not-for-profitorganisatie op verschillende vlakken ondersteuning aan levert.
Tip! In de podcast van 6 mei 2024 bespreken we het doel en de motivatie van de hackers om een aanval op MITRE te lanceren.