A Citrix, uma empresa que fornece serviços aos militares americanos, ao FBI, a muitas corporações dos EUA e a várias agências governamentais dos EUA divulgou no último fim de semana uma enorme violação de dados na sua rede interna.
A Citrix disse que o FBI alertou na quarta-feira que um grupo de criminosos comprometeu os seus sistemas de TI e roubaram “documentos comerciais”, acrescentando que a empresa não sabe exatamente quais documentos os hackers obtiveram nem como conseguiram chegar até eles.
No entanto, o FBI acredita que os criminosos provavelmente usaram um ataque de “password spraying” ,em que os criminosos adivinharam passwords fracas como meio de obter uma posição inicial na rede da empresa, a fim de lançar ataques mais extensos.
“While not confirmed, the FBI has advised that the hackers likely used a tactic known as password spraying, a technique that exploits weak passwords. Once they gained a foothold with limited access, they worked to circumvent additional layers of security,” Citrix said in a blog post.
A Resecurity informou que o grupo de hackers IRIDIUM, apoiado pelo Irão, atingiu a Citrix em dezembro do ano passado e novamente na segunda-feira (4 de março) e roubou pelo menos 6 terabytes de ficheiros internos confidenciais, incluindo e-mails, blueprints e outros documentos.
The massive data breach at Citrix has been identified as a part of “a sophisticated cyber espionage campaign supported by nation-state due to strong targeting on government, military-industrial complex, energy companies, financial institutions and large enterprises involved in critical areas of the economy,” Resecurity said in a blog post.
“Based our recent analysis, the threat actors leveraged a combination of tools, techniques and procedures (TTPs) allowing them to conduct targeted network intrusion to access at least 6 terabytes of sensitive data stored in the Citrix enterprise network, including e-mail correspondence, files in network shares and other services used for project management and procurement.”
O presidente da Resecurity, Charles Yoo, disse à NBC que a IRIDIUM invadiu a rede interna da Citrix há cerca de 10 anos, e que está à espreita dentro do sistema da empresa desde então.
As consequências do incidente de segurança da Citrix podem afetar uma gama mais ampla de alvos, já que a empresa mantém dados confidenciais sobre outras empresas, incluindo infraestrutura crítica, governo e empresas.