Citrix el software de acceso remoto alertó a los clientes que había sido hackeado despues de que la Oficina Federal de Investigaciones de los Estados Unidos le informara de la intrusión.
La firma de seguridad estadounidense Resecurity dijo que el ataque a Citrix fue parte de una ola de ataques más grandes contra cientos de agencias gubernamentales, así como contra compañías de tecnología y petróleo y gas.
Resecurity atribuyó los ataques al grupo Iridium vinculado a Irán, y dijo que los piratas informáticos habían accedido a "al menos 6 terabytes de datos confidenciales almacenados en la red empresarial de Citrix, incluida la correspondencia de correo electrónico, archivos en recursos compartidos de red y otros servicios utilizados para la gestión de proyectos. y la contratación ".
El proveedor de seguridad dijo que Iridium usa técnicas de piratería patentadas para evitar la autenticación de dos factores para obtener acceso no autorizado a redes privadas virtuales y el inicio de sesión único para aplicaciones y servicios.
Resecurity dijo que había alertado a la policía y a Citrix sobre el hackeo.
El jefe de seguridad de Citrix, Stan Black, confirmó el ataque y dijo que la compañía tenía razones para creer que "los ciberdelincuentes internacionales" estaban detrás del ataque.
Black dijo que el FBI aconsejó a Citrix que los hackers probablemente explotaban contraseñas débiles en varias cuentas, una técnica conocida como fumigación con frase de contraseña, para obtener acceso a la red interna de la compañía.
Citrix no dijo cuántas cuentas se vieron comprometidas en el ataque, pero dijo que "lamenta el impacto que el incidente pueda tener en los clientes afectados".
La investigación inicial realizada por la empresa y una empresa de seguridad cibernética anónima indica que los piratas informáticos han accedido y descargado documentos comerciales.
Sin embargo, Black dijo que Citrix no sabe en esta etapa a qué documentos específicos se accedió.
Actualmente no hay indicios de que la seguridad de los productos y servicios de Citrix se haya visto comprometida, agregó.
Resecurity dijo que había compartido información de inteligencia con la Dirección de Señales de Australia, el Centro de Seguridad Cibernética y la Comisión Electoral de que Iridium estaba detrás del reciente ataque al Parlamento.
Residurity le dijo a ASD que Iridium había comprometido dos recursos del gobierno australiano sin nombre el 23 de diciembre del año pasado.
Un análisis adicional realizado por Resecurity de los indicadores de compromiso (IOC) en la primera etapa de la campaña de Iridium mostró que los ataques estaban orientados hacia los servidores de Windows.
El ataque de la segunda etapa en febrero aprovechó los ataques de compromiso de correo electrónico objetivo y el volcado de una Lista de acceso global (GAL).
Resecurity dijo que había podido adquirir el archivo GAL robado en febrero y publicado extractos en su blog.
Iridium también estuvo detrás de un ataque al parlamento británico, en junio de 2017, dijo Resecurity.
El ataque a Citrix es el segundo en los últimos tiempos contra el desarrollador de software de acceso remoto.
Fecha actualización el 2021-03-11. Fecha publicación el 2019-03-11. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: itnews