תוכנה זדונית ROOTROT

תוקפי סייבר תקפו לאחרונה את רשתות הניסויים, המחקר והווירטואליזציה ברשת (NERVE) של MITRE. התוקפים מאמינים שהם קבוצת מדינת לאום, ניצלו שתי נקודות תורפה של יום אפס במכשירי Ivanti Connect Secure החל מינואר 2024. באמצעות חקירה מקיפה, מומחים אישרו כי התוקפים פרסו מעטפת אינטרנט מבוססת Perl בשם ROOTROT כדי לקבל גישה ראשונית .

ROOTROT הוסתר בתוך קובץ Connect Secure .ttc לגיטימי שנמצא בכתובת '/data/runtime/tmp/tt/setcookie.thtml.ttc' ומיוחס לאשכול ריגול סייבר עם קשרים לסין המכונה UNC5221. אותה קבוצה של האקרים נקשרת לקונכיות אינטרנט אחרות, כולל BUSHWALK, CHAINLINE, FRAMESTING ו-LIGHTWIRE.

הזיהום בעקבות ניצול שתי נקודות תורפה

המתקפה כללה ניצול של CVE-2023-46805 ו-CVE-2024-21887, מה שאיפשר לשחקני איומים לעקוף אימות ולבצע פקודות שרירותיות על המערכת שנפרצה.

לאחר שהושגה גישה ראשונית, שחקני האיום המשיכו לנוע לרוחב ולחדור לתשתית VMware באמצעות חשבון מנהל שנפרץ. הפרה זו הקלה על פריסת דלתות אחוריות וקונכיות אינטרנט לצורך התמדה וקצירת אישורים.

NERVE היא רשת שיתופית לא מסווגת המציעה משאבי אחסון, מחשוב ורשת. על פי החשד, התוקפים ערכו סיור ברשתות שנפרצו, ניצלו אחת מהרשתות הפרטיות הווירטואליות (VPNs) תוך שימוש בפרצות Ivanti Connect Secure Zero Day ועקפו אימות רב-גורמי באמצעות חטיפת הפעלה.

לאחר פריסת מעטפת האינטרנט ROOTROT, שחקן האיום ניתח את סביבת NERVE ויזם תקשורת עם מספר מארחים של ESXi, תוך השגת שליטה על תשתית VMware של MITRE. לאחר מכן הם הציגו דלת אחורית של גולנג בשם BRICKSTORM ומעטפת אינטרנט לא ידועה בשם BEEFLUSH. BRICKSTORM היא דלת אחורית מבוססת Go שנועדה למקד לשרתי VMware vCenter. הוא מסוגל להגדיר את עצמו כשרת אינטרנט, לתפעל מערכות קבצים וספריות, לבצע פעולות קבצים כמו העלאה והורדה, ביצוע פקודות מעטפת ולהקל על העברת SOCKS.

שלבים אלה הבטיחו גישה רציפה, ואיפשרו ליריב לבצע פקודות שרירותיות ולתקשר עם שרתי פקודה ובקרה. היריב השתמש במניפולציות של SSH והריץ סקריפטים חשודים כדי לשמור על שליטה על המערכות שנפגעו.

כלים מאיימים נוספים המשמשים לצד ROOTROT

ניתוח נוסף גילה ששחקן האיום פרס מעטפת אינטרנט נוספת בשם WIREFIRE (הידועה גם בשם GIFTEDVISITOR) יום לאחר החשיפה הפומבית של הפגיעויות הכפולות ב-11 בינואר 2024. פריסה זו נועדה לאפשר תקשורת סמויה וחילוץ נתונים.

בנוסף לשימוש במעטפת האינטרנט של BUSHWALK כדי להעביר נתונים מרשת NERVE לתשתית הפיקוד והבקרה שלהם, על פי הדיווחים, היריב עשה ניסיונות לנוע לרוחב ולשמור על התמדה בתוך NERVE מפברואר עד אמצע מרץ 2024.

במהלך פעילותם, התוקפים ביצעו פקודת ping המכוונת לאחד מבקרי התחום הארגוניים של MITRE וניסו לעבור לרוחב לתוך מערכות MITER, אם כי ניסיונות אלו לא צלחו בסופו של דבר.