«Ninguna organización es inmune a este tipo de ciberataque, ni siquiera una que se esfuerce por mantener la mayor ciberseguridad posible». Esas fueron las palabras que el director ejecutivo de MITRE, Jason Providakes, utilizó para referirse al incidente que afectó a la reconocida organización estadounidense sin fines de lucro que apoya a varias agencias gubernamentales de Estados Unidos en diversos campos, como la aviación, defensa, atención médica, seguridad nacional y ciberseguridad, entre otros.
La entidad, con sede la localidad de McLean, Virginia, reveló mediante un comunicado de prensa el pasado 19 de abril, que experimentó una violación de seguridad, la cual fue advertida después de detectar actividad sospechosa en su entorno de virtualización, investigación y experimentación, también conocida como red NERVE, la cual es una red colaborativa utilizada para investigación, desarrollo y creación de prototipos, y que no está clasificada que proporcione recursos de almacenamiento, informática y redes.
“Tras la detección del incidente, MITRE tomó medidas inmediatas para contenerlo, incluido desconectar el entorno de NERVE, y rápidamente inició una investigación con el apoyo de expertos internos y externos líderes. La investigación está en curso, incluso para determinar el alcance de la información que puede estar involucrada”, indica el comunicado.
De acuerdo a la entidad, la información recopilada hasta el momento indicaría que la violación de seguridad no afectó la red empresarial central de la organización ni los sistemas de sus socios, pero también daría cuenta de quien está detrás del incidente sería uno o varios actores maliciosos con respaldo estatal.
“Estamos divulgando este incidente de manera oportuna debido a nuestro compromiso de operar en el interés público y defender las mejores prácticas que mejoren la seguridad empresarial, así como las medidas necesarias para mejorar la postura actual de ciberdefensa de la industria. Las amenazas y los ciberataques son cada vez más sofisticados y requieren mayores enfoques de vigilancia y defensa. Como lo hemos hecho anteriormente, compartiremos lo aprendido de esta experiencia para ayudar a otros y desarrollar nuestras propias prácticas”, indicó el portavoz de la entidad.
Con el propósito de ayudar al aprendizaje a partir de su experiencia, MITRE ha publicado detalles iniciales sobre el incidente a través de su Centro de Defensa Informada contra Amenazas, y planea publicar información adicional a medida que la investigación continúe y una vez que esta concluya.
El cuanto a la violación propiamente tal, Charles Clancy, director de tecnología de MITRE, indicó que el actor de amenazas comprometió el dispositivo Ivanti Connect Secure utilizado para proporcionar conectividad a redes confiables (VPN).
También pudieron eludir las defensas de autenticación multifactor (MFA) mediante el uso del secuestro de sesión, lo que les permitió moverse lateralmente a través de la infraestructura VMware de la red violada utilizando una cuenta de administrador secuestrada.
Durante el incidente, los actores maliciosos utilizaron una combinación de sofisticadas webshells y puertas traseras para mantener el acceso a los sistemas vulnerados y recopilar credenciales.
La firma de seguridad Mandiant atribuyó el ataque informático a la APT UNC5221, mientras que la firma Volexity, ha informado de señales de que actores patrocinados por el estado chino estarían tras las explotaciones de día cero.