A MITRE nyilvánosságra hozta, hogy gyanús tevékenységet észleltek a Networked Experimentation, Research, and Virtualization Environment (NERVE) hálózatán. A vizsgálataik során megerősítést nyert, hogy egy külföldi nemzetállami fenyegető szereplő kompromittálta a hálózatot.
A NERVE egy nem titkosított együttműködési hálózat, amely tárolási, számítástechnikai és hálózati erőforrásokat biztosít. Eddigi vizsgálataik alapján nincs arra utaló jel, hogy a MITRE központi vállalati hálózatát vagy partnereinek rendszereit érintette volna ez az incidens.
Az észlelést követően a MITRE azonnali intézkedéseket tett az incidens megfékezésére. A NERVE környezetet offline állapotba helyezték, és vizsgálatot indítottak külső és belső szakértők bevonásával. A MITRE felvette a kapcsolatot a hatóságokkal és értesítette az érintett feleket.
Charles Clancy, a MITRE technológiai igazgatója és Lex Crumpton kiberbiztonsági mérnök külön közleményben azt is kifejtette, hogy a támadók a MITRE hálózatát két Ivanti Connect Secure nulladik nap láncolatával kompromittálták.
A többfaktoros hitelesítést is meg tudták kerülni a munkamenet eltérítésével, ami lehetővé tette számukra, hogy egy rendszergazdai fiók segítségével oldalirányú mozgást hajtsanak végre a feltört hálózat VMware infrastruktúrájában. Az incidens során a hackerek kifinomult webshellek és backdoorok kombinációját használták a feltört rendszerekhez való hozzáférés fenntartására és a hitelesítő adatok begyűjtésére.
December eleje óta a két biztonsági rést, egy auth megkerülést (CVE-2023-46805) és egy parancsinjekciót (CVE-2024-21887), több kártevőcsalád kémkedési célú telepítésére használták ki.
A Mandiant ezeket a támadásokat egy APT-hez kapcsolta, amelyet UNC5221 néven követ. A Volexity szerint kínai állami támogatású fenyegető szereplők használják ki a két nulladik napi sebezhetőséget.
