תאגיד MITRE המפקח על מחקרים במימון פדרלי, נפרץ על ידי האקרים בחסות מדינה עויינת באמצעות שתי נקודות תורפה של יום אפס במוצרים של ספקית ה- IT חברת Ivanti. התאגיד טוען כי האקרים ביצעו סיור ברשתות המחשוב שלו על ידי ניצול אחד מה- VPN שלה באמצעות שתי נקודות תורפה במוצר Ivanti Connect Secure. החברה דיווחה ששתי נקודות התורפה שימשו במתקפות סייבר על לפחות 10 מלקוחותיה.
ה- CTO של MITRE – צ'ארלס קלנסי, אמר בהצהרה שהחברה גילתה בשבוע שעבר שרשת המחקר והפיתוח השיתופית הבלתי מסווגת שלה – שבה מאוחסנים אבות טיפוס ועבודות אחרות – נפגעה על ידי האקרים של מדינת לאום עויינת. MITRE תומכת במגוון סוכנויות ממשלתיות ורשת המחשוב שנפרצה מספקת משאבי אחסון, מחשוב ורשת. לטענת MITRE: "אין אינדיקציה לכך שרשת הליבה הארגונית של MITRE או מערכות המחשוב של השותפים הושפעו מהאירוע הזה"; "ההאקרים פרצו למוצר Ivanti Connect Secure ועברו לתוך תשתית ה- VMware שלנו לפני שפגיעות יום אפס נחשפה ודווחה", אמר קלנסי. לטענתו סגרה החברה במהירות את פרצת האבטחה של הדלת האחורית בעקבות חקירה של Ivanti וסוכנות אבטחת הסייבר (CISA), אבל הדלת האחורית כבר הייתה פתוחה. MITRE הסבירו שההאקרים השתמשו בפגיעויות של Ivanti כדי לנוע לרוחב על ידי השתלטות על חשבון מנהל שנפרץ. הם השתמשו בשילוב של דלתות אחוריות מתוחכמות וקונכיות אינטרנט כדי לשמור על נוכחות ברשת המחשוב וכדי לקצור אישורי גישה נוספים.
MITRE טוענים כי פעלו בהתאם לעצות מהממשלה וחברת Ivanti במטרה לשדרג, להחליף ולהקשיח את מערכת ה- Ivanti, אך לא זיהו את התנועה הצידית לתוך תשתית ה- VMware: "באותה תקופה האמנו שנקטנו בכל הפעולות הדרושות כדי לצמצם את הפגיעות, אבל ברור שהפעולות הללו לא היו מספיקות".
חקירת האירוע נמשכת אך MITRE הרגישו שחשוב לחשוף את האירוע כדוגמה לאופן שבו אפילו הארגונים הבוגרים ביותר בתחום הסייבר עלולים להיפרץ על ידי גורמי איום מתוחכמים. החברה אמרה כי היא תצלול עמוק יותר לתוך הפרטים הטכניים של מתקפת הסייבר ובינתיים סיפקה רשימה של המלצות לארגונים, על סמך הניסיון שלהם.
בעוד ש- MITRE לא אמרה מי עומד מאחורי מתקפת הסייבר, החברה שגילתה בתחילה את נקודות התורפה של Ivanti ייחסה את מתקפת הסייבר להאקרים מסין. יש לציין כי מוצרי Ivanti הפכו לשדרה מרכזית עבור האקרים הנחושים לחדור למערכות המחשוב של ממשלות וארגונים מובילים – כולל אפילו הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA).
