Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Chińscy cyberprzestępcy włamali się do MITER

13 maj 2024

Chińscy cyberprzestępcy włamali się do MITER
Jemioło Damian

Jemioło Damian

MITRE padło ofiarą skomplikowanego cyberataku, za który odpowiedzialni są cyberprzestępcy z Chin. Pierwsze sygnały nieautoryzowanego dostępu pojawiły się 31 grudnia 2023 roku, ale cała skala incydentu ujawniona została dopiero niedawno.

Dobroczynnie NTHW

Chińscy cyberprzestępcy zaatakowali MITRE

MITRE to amerykańska organizacja non-profit, która zarządza finansowanymi ze środków federalnych centrami badawczo-rozwojowymi, wspierającym różne agencje rządowe Stanów Zjednoczonych.

Niestety cyberprzestępcy wykorzystali dwie poważne luki w oprogramowaniu Ivanti Connect Secure, oznaczone jako CVE-2023–46805 i CVE-2024–21887, aby uzyskać dostęp do sieci MITRE. 

Te luki, znane jako zero-day, są szczególnie niebezpieczne, ponieważ dotychczas nikt o nich nie wiedział, a zatem nie było możliwości ich załatania. To umożliwiło cyberprzestępcom niezauważone działanie.

MITRE zhakowane przez cyberprzestępców

Po uzyskaniu dostępu cyberprzestępcy szybko manewrowali po sieci badawczej MITRE, korzystając z infrastruktury VMware i przejętych kont administratorów. 

Aby utrzymać swoją obecność i zbierać poufne dane, cyberprzestępcy zainstalowali szereg złośliwych programów, w tym internetowe powłoki takie jak ROOTROT. Powłoka ta, napisana w języku Perl, została osadzona w legalnym pliku systemowym, co dodatkowo utrudniało jej wykrycie.

ROOTROT, stworzona przez chiński klaster szpiegowski oznaczony jako UNC5221, był pierwszym etapem złożonej operacji. Po jej instalacji cyberprzestępcy przeszli do profilowania systemu NERVE MITRE, pozyskując kontrolę nad kolejnymi elementami infrastruktury.

Kontrolując serwery VMware, Chińczycy mogli manipulować systemami, co umożliwiło im nie tylko dalsze zbieranie danych, ale także wykonanie szeregu poleceń, w tym podejrzanych skryptów i manipulacji protokołem SSH. To pozwoliło utrzymać kontrolę nad zainfekowanymi systemami na dłuższy czas.

Dane z MITRE wypłynęły?

Analiza działań hakerów wykazała, że po wykryciu luk, następnego dnia zainstalowali oni inną złośliwą powłokę internetową, WIREFIRE, aby ułatwić tajną komunikację. W późniejszym czasie, używając powłoki BUSHWALK, przesłali zdobyte dane do swojego centrum dowodzenia.

Cyberprzestępcy nie tylko zainstalowali złośliwe oprogramowanie, ale także próbowali przeprowadzić działania mające na celu dalsze rozprzestrzenianie się w sieci MITRE. Mimo to niektóre z ich działań, jak próba dostępu do kontrolerów domeny korporacyjnej, zakończyły się niepowodzeniem.

Ten zuchwały atak pokazuje, jak zaawansowane i skomplikowane metody mogą być stosowane przez cyberprzestępców powiązanych z państwami. Cyberatak podkreśla także konieczność ciągłego monitorowania i aktualizowania oprogramowania, aby zapobiegać podobnym incydentom w przyszłości. 

Cyberatak na MITRE to przestroga dla wszystkich organizacji, jak ważna jest cyberbezpieczeństwo w dzisiejszym, szybko zmieniającym się świecie technologii.

Studia Cyberbezpieczeństwo WSiZ

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności