A Citrix, uma empresa que fornece serviços aos militares americanos, ao FBI, a muitas corporações dos EUA e a várias agências governamentais dos EUA divulgou no último fim de semana uma enorme violação de dados na sua rede interna.
A Citrix disse que o FBI alertou na quarta-feira que um grupo de criminosos comprometeu os seus sistemas de TI e roubaram “documentos comerciais”, acrescentando que a empresa não sabe exatamente quais documentos os hackers obtiveram nem como conseguiram chegar até eles.
No entanto, o FBI acredita que os criminosos provavelmente usaram um ataque de “password spraying” ,em que os criminosos adivinharam passwords fracas como meio de obter uma posição inicial na rede da empresa, a fim de lançar ataques mais extensos.
“While not confirmed, the FBI has advised that the hackers likely used a tactic known as password spraying, a technique that exploits weak passwords. Once they gained a foothold with limited access, they worked to circumvent additional layers of security,” Citrix said in a blog post.
A Resecurity informou que o grupo de hackers IRIDIUM, apoiado pelo Irão, atingiu a Citrix em dezembro do ano passado e novamente na segunda-feira (4 de março) e roubou pelo menos 6 terabytes de ficheiros internos confidenciais, incluindo e-mails, blueprints e outros documentos.
The massive data breach at Citrix has been identified as a part of “a sophisticated cyber espionage campaign supported by nation-state due to strong targeting on government, military-industrial complex, energy companies, financial institutions and large enterprises involved in critical areas of the economy,” Resecurity said in a blog post.
“Based our recent analysis, the threat actors leveraged a combination of tools, techniques and procedures (TTPs) allowing them to conduct targeted network intrusion to access at least 6 terabytes of sensitive data stored in the Citrix enterprise network, including e-mail correspondence, files in network shares and other services used for project management and procurement.”
O presidente da Resecurity, Charles Yoo, disse à NBC que a IRIDIUM invadiu a rede interna da Citrix há cerca de 10 anos, e que está à espreita dentro do sistema da empresa desde então.
As consequências do incidente de segurança da Citrix podem afetar uma gama mais ampla de alvos, já que a empresa mantém dados confidenciais sobre outras empresas, incluindo infraestrutura crítica, governo e empresas.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.