La perdita di dati è uno dei problemi attualmente più rilevanti del web, in special modo quando riguarda aziende di grandi dimensioni come abbiamo visto nel caso di AT&T di qualche tempo fa. Nel caso che vedremo oggi, però, l’attacco subito da MITRE, azienda che si occupa della classificazione delle minacce online e della salvaguardia di tutto il web, è uno di quelli destinati a creare maggior preoccupazione, sia per la natura della vittima che per quella degli attaccanti.
In una nota diffusa nell’aprile 2024, MITRE ha specificato di aver subito un ingente furto di dati iniziato verosimilmente nel gennaio precedente, quando sono state notate alcune attività strane all’interno di una piattaforma utilizzata dai dipendenti chiamata NERVE, che sta per Networked Experimentation, Research, and Virtualization Environment, nella quale vengono svolte le attività centrali di MITRE. Dopo aver visto questi strani movimenti, la rete interna è stata staccata ed iniziata logicamente tutta l’attività di monitoraggio coadiuvato anche da agenzie esterne e che risulta essere ancora in corso. La reazione iniziale del presidente di MITRE è stata molto cauta, poiché ha specificato come questo genere di problematiche possano verificarsi anche ad aziende che si dotano di strumenti di altissimo livello.
Il problema sembra essere nato da ben due vulnerabilità di tipo zero-day di Ivanti, uno strumento utilizzato da moltissime aziende per la rete VPN, che hanno consentito agli hacker di entrare all’interno della suddetta rete superando tutti i controlli multifattore posti prima dell’accesso. Una volta dentro, grazie all’utilizzo di un account admin compromesso, gli hacker si sono potuti muovere in profondità nei sistemi VMware di MITRE, inserendo anche backdoor e webshell che gli garantissero la persistenza e il furto di altri nomi utenti e password. Nonostante l’utilizzo delle misure consigliate per il superamento di questi problemi, come l’aggiornamento di Ivanti e la sua sostituzione, inizialmente la ricerca e l’isolamento degli hacker non ha dato buon esito, cosa successa solo in un secondo momento quando, segmentando la rete, isolando alcuni sistemi e spostando su altre piattaforme i laboratori più importanti, il tutto ha ritrovato la continuità necessaria.
Ancora non si hanno grossi aggiornamenti sulla reale quantità di dati persi da MITRE contestualmente all’attacco subito, ma c’è da immaginare che molto materiale sia uscito e che a breve venga reso disponibile previo pagamento nel dark web. La cosa che inquieta maggiormente è la certezza da parte della vittima di aver subito questa offensiva da parte di un gruppo di hacker finanziato da qualche stato estero, probabilmente la Cina vista la nazionalità degli hacker, che, evidentemente, vuole controllare informazioni sensibili per poter lanciare altre campagne.