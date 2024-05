De aanvallers die wisten in te breken op systemen van MITRE creëerden rogue virtual machines om onopgemerkt te blijven, zo laat de organisatie in een analyse van de aanval weten. MITRE is de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren en de Mitre Att&ck Matrix die technieken en tactieken van aanvallers beschrijft.

Begin dit jaar kreeg MITRE zelf met een inbraak te maken waarbij aanvallers via twee onbekende kwetsbaarheden toegang tot de Ivanti vpn-servers van de organisatie kregen. Via de servers werd vervolgens de Networked Experimentation, Research, and Virtualization Environment (NERVE) gecompromitteerd. Dit is een netwerk gebruikt voor onderzoek, ontwikkeling en prototyping. Volgens MITRE gaat het om een ongeclassificeerd netwerk en is het enterprise netwerk niet getroffen.

Via een gecompromitteerd admin-account wisten de aanvallers toegang te krijgen tot de VMware-infrastructuur van de NERVE-omgeving. Daarbij creëerden de aanvallers rogue virtual machines (VM's). Deze VM's worden direct via service-accounts op de hypervisor aangemaakt en beheerd, in plaats van de vCenter-adminconsole te gebruiken. Daardoor verschijnen deze virtual machines niet in het overzicht van vCenter, de ESXi-webinterface en ook sommige on-hypervisor command-line utilities. VCenter is een oplossing voor het beheer van VM's en gevirtualiseerde servers.

Door het gebruik van rogue VM's kunnen de aanvallers controle over het gecompromitteerde systeem behouden en tegelijkertijd de kans op detectie verkleinen, aldus MITRE. De organisatie voegt toe dat er speciale tools of technieken nodig zijn om rogue virtual machines te detecteren. In de analyse noemt MITRE verschillende zaken waarmee dergelijke VM's zijn te vinden en wordt ook een PowerShell-script gegeven dat kan helpen bij de detectie.