MITRE ist eine US-amerikanische Non-Profit-Organisation, die staatlich finanzierte Forschung durchführt. Durch die Entwicklung des ATT&CK-Frameworks spielt sie eine wichtige Rolle in der IT-Security-Szene. Allerdings sind auch solche Einrichtungen nicht vor Cyberangriffen gefeit. Am Freitag (19. April 2024) gab die MITRE Corporation bekannt, dass im Januar 2024 eine staatlich unterstützte Hackergruppe in die Systeme eingedrungen ist.
Der Vorfall wurde entdeckt, nachdem verdächtige Aktivitäten im Networked Experimentation, Research, and Virtualization Environment (NERVE) von MITRE festgestellt wurden, einem Kooperationsnetzwerk für Forschung und Entwicklung. Der Organisation zufolge nutzten die Angreifer zwei Zero-Day-Schwachstellen im VPN von I?vanti aus. Demnach konnten die Kriminellen auch die Abwehrmechanismen der Multi-Faktor-Authentifizierung (MFA) umgehen, indem sie Session-Hijacking nutzten. Mit Hilfe eines gekaperten Administratorkontos waren sie anschließend in der Lage, sich seitlich durch die VMware-Infrastruktur des angegriffenen Netzwerks zu bewegen.
Während des gesamten Angriffs hätten die Hacker eine Kombination aus hochentwickelten Webshells und Hintertüren eingesetzt, um den Zugriff auf gehackte Systeme aufrechtzuerhalten und Anmeldeinformationen abzugreifen, heißt es in einer offiziellen Erklärung von MITRE. "Es gibt jedoch keine Hinweise darauf, dass das zentrale Unternehmensnetzwerk von MITRE oder die Systeme von Partnern davon betroffen waren", betont die Organisation.
Nach eigenen Angaben wurden sofort Maßnahmen ergriffen, um den Vorfall einzudämmen. So wurde unter anderem die NERVE-Umgebung abgeschaltet. Zudem hat MITRE mit Unterstützung interner und externer Experten eine Untersuchung des Falls eingeleitet. Auch die zuständigen Behörden wurden kontaktiert und die betroffenen Parteien benachrichtigt.
Hintergrund zu den beiden Ivanti-Lücken
Im Januar 2024 erklärte Ivanti, dass die beiden Sicherheitslücken CVE-2023-46805 und CVE-2024-21887 bei Angriffen auf mindestens zehn seiner Kunden verwendet wurden. Der Security-Anbieter Mandiant hat diese Angriffe mit einer APT-Grupp in Verbindung gebracht, die als UNC5221 verfolgt wird. Laut dem Cybersecurity-Spezialist Volexity gibt es Hinweise darauf, dass chinesische staatlich geförderte Bedrohungsakteure die beiden Zero-Days ausnutzten.