Иранские хакеры украли терабайты данных у Citrix

Как сообщает Citrix через свой блог, ФБР проинформировало их об атаке хакеров на внутренние ИТ-ресурсы компании.



Citrix начали расследование и установили, что был неавторизованный доступ к внутренним документам.


Независимая компания Resecurity утверждает, что Citrix атаковала иранская хакерская группировка Iridium. Специалисты Resecurity заявляют о двух случаях скачивания данных из сети Citrix. Первый инцидент произошел 20 декабря 2018 года и тогда было скачано около 6 Тб данных. Второй инцидент случился 4 марта этого года и хакерам удалось скачать около 10 Тб данных.


Все украденные у Citrix данные (файлы на общих сетевых ресурсах, электронные письма и т.п.) так или иначе связаны с проектами в НАСА, ФБР, а также в компании Saudi Aramco – государственной нефтяной компании Саудовской Аравии.


Общее количество пострадавших и затронутых данным инцидентов клиентов Citrix пока неизвестно.


Специалисты Resecurity предполагают, что хакеры проникли и закрепились в сети Citrix около 10 лет назад.


Расследование ФБР показало, что для первичного доступа в сеть, хакеры применили технику перебора известных паролей в попытке проникнуть внутрь под любой учетной записью, а потом уже повысить свои привилегии, используя некую проприетарную технику обхода двухфакторной аутентификации.


Расследование продолжается...

Поделиться публикацией

Комментарии 12

    0
    20 декабря 2018 года и тогда было скачено около 6 Тб данных
    Citrix, специализирующийся на безопасности, не заметил по логам 6Тб подозрительного трафика? Куда админы их глядели? И сколько уже тем было про автоматические системы анализатора трафика, кучи alert-систем, которые хотя-бы нетипичный трафик выделяют, и ничего этого у Citrix, который обслуживает ФБР, всего этого нет? Бред какой-то…
      0
      Ну если 6 Тб разложить на 10 лет, то это не так уж и заметно выходит. Чуть больше полутора гигов на день.
        +1
        Там не 10 лет, а 20 декабря и 4 марта — конкретные дни.
          0
          Что имеется в виду под этими датами — вопрос тёмный. Это может быть дата проникновения, или дата обнаружения. А за какое время были вытащенные данные в реальности — неизвестно. Ну и сильно зависит от трафика. Если у компании 10G на выходе, то плюс-минус один гигабит будет не очень заметно. А на гигабите вытащить 10 Тб можно за сутки. К тому же, я думаю, у Citrix на бордерах их сети может и поболе 10G будет.
      –1
      Украли терабайты данных с /dev/random
        +3

        Нет абсолютно никаких доказательств, что это были иранские хакеры. Ни ip-адресов (хотя это сомнительное доказательство), ни каких-либо еще улик. Ну может быть, они прямо на главном сервере Citrix оставили файл с названием iranian_hackers.txt, но даже такого не было.


        Компания "Resecurity" ни разу нигде не была замечена до середины февраля этого года. То есть, первые упомнинания о ней возникли менее месяца назад.


        Все это очень дурно пахнет.

          +1
          Исключительные согласно их новой доктрине, могут начать полномасштабную войну, против мифических кибер-агрессоров.
            +1
            Контора Resecurity основана в 2017 (как они сами пишут, по другим источникам 2018). Ничем примечательным не запомнились, что-то там для защиты Endpoint делали — EPP Platform (страницы сейчас нет на сайте resecurity.com/products/epp).

            И вдруг такой «выброс» в СМИ… Похоже, что это просто попытка пиара. Ну либо они какая-то крыша для реальных пацанов из трехбуквенных агенств…
            +2
            Ну хоть не «русские хакеры».
              0
              del
                0
                Когда слышу про иранских хакеров, всегда вспоминаю отрывок из фильма Трансформер: когда команды по ИТ безопасности искали кто взломал сервера Пентагона:
                — Это Иран!
                — Нет
                — Может Северная Корея?
                — У них нет ничего подобного,
                … И тогда поняли что это сделали инопланетяне
                  0
                  В данной ситуации иранские хакеры === британские учёные. Не находите?)

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое