Citrix, огромна софтуерна компания, която се занимава с чувствителни компютърни проекти за комуникационната агенция на Белия дом, военните служби на САЩ, ФБР и много други американски корпорации, обяви, че е станала жертва на „международни киберпрестъпници“. С компанията са се свързали от ФБР с информация, получена от фирмата за киберсигурност Resecurity, за хакване на вътрешната им мрежа.

Според Resecurity атаката е била дело на иранска хакерска група, позната под името Iridium. Iridium е отговорна за още няколко кибератаки от близкото минало – срещу множество правителствени агенции, компании за петрол и газ, както и други. Чарлс Йоо, президент на Resecurity, твърди, че Citrix Systems Inc. са претърпeли кибератака и по-рано – през декември 2018 г. Счита се, че в резултат на втората атака са изтекли 6 TB данни.

Макар да е твърде рано да знаем подробности, не е трудно да се предположи, че инцидентът може да има невъобразими последици. Citrix предлага достъп до частна виртуална мрежа и документи на 400 000 компании и други организации по цял свят. освен това, почти всички представители на Fortune 500 са сред клиентите на компанията. Най-смущаващо е загатването за теч на бизнес документи, споменато в изявлението:

„Макар разследването ни да тече, на база това, което знаем досега, изглежда, че хакерите може да са имали достъп и да са свалили бизнес документация. Остава неясно точно кои документи са били засегнати. Към този момент няма индикация, че сигурността на който и да е продукт или услуга на Citrix са компрометирани.“

Въпреки минималната информация, подадена в изявлението, най-вероятната причина за атаката е спомената. Бихте си помислили, че дупките в киберсигурността са на едно по-високо ниво на сложност при големите компании. За съжаление, оказва се това не е така. Изглежда, хакерите са придобили достъп през няколко компрометирани акаунта на служители.

„Все още не е потвърдено, но според ФБР хакерите са използвали тактика, позната като password spraying – техника, която използва слаби пароли. Веднъж добрали се до акаунти посредством слаби пароли, хакерите продължават своя пробив в сигурността на следващи нива.“

С техниката “password spraying” се използват списъци с малко на брой често срещани пароли, с които се прониква в голям брой акаунти. Любомир Тулев, експерт по киберсигурност от екипа на AMATAS, коментира метода:

Този тип атаки са винаги успешни поради факта, че по света има десетки хиляди хора, които продължават да използват несложни пароли, обикновени лесни за досещане, и често тези пароли вече фигурират в нечий списък и шансът даден акаунт да бъде компрометиран е висок. Освен това, обикновено тази атака не се засича от системите за превенция, защото тези защити са конфигурирани да търсят нередности в цялостната мрежа, а не в индивидуални акаунти.“

Разследването продължава и тепърва подробностите ще се изясняват, но налице са сигнали за скандален случай на изключително продължително киберпрестъпление. Според Resecurity някои следи водят до хакерска атака на Iridium над Citrix преди десет години и оттогава злонамерената намеса не е спирала.

Чарлс Йоо добави, че фокус на атаката са били проекти, свързани с ФБР, НАСА и космически договори, както и работата със Saudi Aramco, националната петролна компания на Саудитска Арабия.

„Веднъж доберат ли се до системата и компрометира ли се един акаунт, това е само началото. Това, което разкрихме чрез нашия анализ, говори за атака на много високо ниво“, добави той.

Снимка: Pexels