A empresa especializada Citrix de software corporativo que fornece serviços aos militares americanos, como FBI e outras corporações dos EUA, como várias agências governamentais divulgou no último final de semana uma enorme violação de dados de sua rede interna por “criminosos cibernéticos internacionais”.
A Citrix afirmou que o FBI alertou na quarta-feira que hackers estrangeiros comprometem seus sistemas de TI e roubam “documentos comerciais”, acrescentando que a empresa não sabe exatamente quais documentos os hackers obtiveram e nem como conseguiram se infiltrar.
No entanto, o FBI acredita que os criminosos provavelmente usaram um ataque de “pulverização de senhas” em que os invasores presumiram senhas fracas para ganhar uma posição inicial na rede da empresa, a fim de lançar ataques mais extensos.
“Embora não tenha sido confirmado, o FBI avisou que os hackers provavelmente usaram uma tática conhecida como “password spraying”, uma técnica que explora senhas fracas. Depois de conseguirem acesso limitado, eles trabalharam para contornar camadas adicionais de segurança”, disse a Citrix.
Embora a Citrix não tenha divulgado muitos detalhes sobre a violação, os pesquisadores da empresa de segurança Resecurity lançaram mais informações sobre o incidente, alegando que ele havia alertado os Feds e a Citrix sobre o “ataque direcionado e violação de dados”.
A Resecurity informou que o grupo de hackers IRIDIUM, apoiado pelo Irã, atingiu a Citrix em dezembro do ano passado e novamente na segunda-feira (4 de março) e roubou pelo menos 6 terabytes de arquivos internos confidenciais, incluindo e-mails, blueprints (cópia heliográfica utilizado em desenho técnico para projetos de arquitetura, engenharia ou design) e outros documentos.
O IRIDIUM é um grupo de hackers ligado ao Irã que também esteve por trás de ataques cibernéticos recentes contra mais de 200 agências governamentais em todo o mundo, empresas de petróleo e gás, empresas de tecnologia, entre outras.
As técnicas proprietárias do IRIDIUM incluem ignorar autenticações multifatoriais para aplicativos e serviços críticos para acesso não autorizado a canais VPN e SSO (Single Sign-On).
A enorme violação de dados na Citrix foi identificada como parte de “uma campanha sofisticada de espionagem cibernética apoiada pelo Estado-nação devido ao forte direcionamento ao governo, complexo militar-industrial, empresas de energia, instituições financeiras e grandes empresas envolvidas em áreas críticas do setor.”
“Com base em nossa análise recente, os agentes de ameaças alavancaram uma combinação de ferramentas, técnicas e procedimentos (TTPs) permitindo que eles conduzissem invasões de rede direcionadas para acessar pelo menos 6 terabytes de dados confidenciais armazenados na rede corporativa da Citrix, incluindo correspondência por e-mail, arquivos em compartilhamentos de rede e outros serviços usados para gerenciamento e aquisição de projetos.”
O presidente da Resecurity, Charles Yoo, disse à NBC que a IRIDIUM invadiu a rede interna da Citrix há cerca de 10 anos, e que está à espreita (confinada) dentro do sistema da empresa, desde então.
A empresa, com sede na Flórida, ressaltou que não havia sinais de que os hackers tivessem comprometido qualquer produto ou serviço da Citrix, que tivessem iniciado uma “investigação forense”, contratado uma empresa de segurança cibernética e adotado “ações” para proteger sua rede interna.
Assim como a violação do OPM, as conseqüências do incidente de segurança da Citrix podem afetar uma gama mais ampla de alvos, já que a empresa mantém dados confidenciais sobre outras empresas, incluindo infraestrutura crítica, governo e empresas.
Fonte: The Hacker News
