Как сообщает Citrix через свой блог, ФБР проинформировало их об атаке хакеров на внутренние ИТ-ресурсы компании.
Citrix начали расследование и установили, что был неавторизованный доступ к внутренним документам.
Независимая компания Resecurity утверждает, что Citrix атаковала иранская хакерская группировка Iridium. Специалисты Resecurity заявляют о двух случаях скачивания данных из сети Citrix. Первый инцидент произошел 20 декабря 2018 года и тогда было скачано около 6 Тб данных. Второй инцидент случился 4 марта этого года и хакерам удалось скачать около 10 Тб данных.
Все украденные у Citrix данные (файлы на общих сетевых ресурсах, электронные письма и т.п.) так или иначе связаны с проектами в НАСА, ФБР, а также в компании Saudi Aramco – государственной нефтяной компании Саудовской Аравии.
Общее количество пострадавших и затронутых данным инцидентов клиентов Citrix пока неизвестно.
Специалисты Resecurity предполагают, что хакеры проникли и закрепились в сети Citrix около 10 лет назад.
Расследование ФБР показало, что для первичного доступа в сеть, хакеры применили технику перебора известных паролей в попытке проникнуть внутрь под любой учетной записью, а потом уже повысить свои привилегии, используя некую проприетарную технику обхода двухфакторной аутентификации.
Расследование продолжается...
Комментарии (12)
immaculate
11.03.2019 01:18+1Нет абсолютно никаких доказательств, что это были иранские хакеры. Ни ip-адресов (хотя это сомнительное доказательство), ни каких-либо еще улик. Ну может быть, они прямо на главном сервере Citrix оставили файл с названием
iranian_hackers.txt, но даже такого не было.
Компания "Resecurity" ни разу нигде не была замечена до середины февраля этого года. То есть, первые упомнинания о ней возникли менее месяца назад.
Все это очень дурно пахнет.
OneType
11.03.2019 08:24Исключительные согласно их новой доктрине, могут начать полномасштабную войну, против мифических кибер-агрессоров.
ashotog
11.03.2019 10:53+1Контора Resecurity основана в 2017 (как они сами пишут, по другим источникам 2018). Ничем примечательным не запомнились, что-то там для защиты Endpoint делали — EPP Platform (страницы сейчас нет на сайте resecurity.com/products/epp).
И вдруг такой «выброс» в СМИ… Похоже, что это просто попытка пиара. Ну либо они какая-то крыша для реальных пацанов из трехбуквенных агенств…
solariserj
12.03.2019 04:55Когда слышу про иранских хакеров, всегда вспоминаю отрывок из фильма Трансформер: когда команды по ИТ безопасности искали кто взломал сервера Пентагона:
— Это Иран!
— Нет
— Может Северная Корея?
— У них нет ничего подобного,
… И тогда поняли что это сделали инопланетяне
TimsTims
khanid
Ну если 6 Тб разложить на 10 лет, то это не так уж и заметно выходит. Чуть больше полутора гигов на день.
TimsTims
Там не 10 лет, а 20 декабря и 4 марта — конкретные дни.
athacker
Что имеется в виду под этими датами — вопрос тёмный. Это может быть дата проникновения, или дата обнаружения. А за какое время были вытащенные данные в реальности — неизвестно. Ну и сильно зависит от трафика. Если у компании 10G на выходе, то плюс-минус один гигабит будет не очень заметно. А на гигабите вытащить 10 Тб можно за сутки. К тому же, я думаю, у Citrix на бордерах их сети может и поболе 10G будет.