La société MITRE affirme qu’un groupe de piratage soutenu par l’État a violé ses systèmes en janvier 2024 en enchaînant deux jours zéro Ivanti VPN.

L’incident a été découvert après la détection d’une activité suspecte sur l’Environnement d’Expérimentation, de Recherche et de virtualisation en réseau (NERVE) de MITRE, un réseau collaboratif non classifié utilisé pour la recherche et le développement.

MITRE a depuis informé les parties concernées de la violation, contacté les autorités compétentes et travaille actuellement à la restauration des « alternatives opérationnelles ». »

Les preuves recueillies au cours de l’enquête jusqu’à présent montrent que cette violation n’a pas affecté le réseau d’entreprise principal de l’organisation ni les systèmes de ses partenaires.

« Aucune organisation n’est à l’abri de ce type de cyberattaque, pas même celle qui s’efforce de maintenir la cybersécurité la plus élevée possible », a déclaré vendredi Jason Providakes, PDG de MITRE.

« Nous divulguons cet incident en temps opportun en raison de notre engagement à agir dans l’intérêt public et à préconiser les meilleures pratiques qui améliorent la sécurité de l’entreprise ainsi que les mesures nécessaires pour améliorer la posture actuelle de cyberdéfense de l’industrie. »

Charles Clancy, directeur technique de MITRE, et Lex Crumpton, ingénieur en cybersécurité, ont également expliqué dans un avis distinct que les auteurs de la menace avaient compromis l’un des réseaux privés virtuels (VPN) de MITRE en enchaînant deux zero-days sécurisés Ivanti Connect.

Ils pouvaient également contourner les défenses d’authentification multifacteur (MFA) en utilisant le détournement de session, ce qui leur permettait de se déplacer latéralement dans l’infrastructure VMware du réseau piraté à l’aide d’un compte administrateur détourné.

Tout au long de l’incident, les pirates ont utilisé une combinaison de webshells sophistiqués et de portes dérobées pour maintenir l’accès aux systèmes piratés et récolter les informations d’identification.

Depuis début décembre, les deux failles de sécurité, un contournement d’authentification (CVE-2023-46805) et une injection de commande (CVE-2024-21887), ont été exploitées pour déployer plusieurs familles de logiciels malveillants à des fins d’espionnage.

Mandiant a lié ces attaques à une menace persistante avancée (APT) qu’il suit sous le nom de UNC5221, tandis que Volexity a signalé avoir vu des signes que des acteurs de la menace parrainés par l’État chinois exploitaient les deux jours zéro.

Volexity a déclaré que les pirates chinois avaient piraté plus de 2 100 appliances Ivanti, récoltant et volant des données de compte et de session sur les réseaux piratés. La taille des victimes allait des petites entreprises à certaines des plus grandes organisations du monde entier, y compris des entreprises Fortune 500 de divers secteurs verticaux de l’industrie.

En raison de leur exploitation massive et de la vaste surface d’attaque, la CISA a publié la première directive d’urgence de cette année le 19 janvier, ordonnant aux agences fédérales d’atténuer immédiatement les zero-days Ivanti.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *