Иранские хакеры украли терабайты важных документов через Citrix

[Ippolitovich]

Citrix наиболее известна разработкой программного обеспечения, лежащего в основе инфраструктуры облачных служб, решений для виртуализации и так далее. Как сообщается, иностранные хакеры вначале взломали серверы компании с помощью подбора простых паролей, а затем провели более сложные атаки. Сама Citrix не распространяется особо об инциденте, зато исследователи из Resecurity предоставили более подробную информацию о том, что предположительно произошло.

 

 
Resecurity отмечает, что хакеры связанной с Ираном группы Iridium украли массив данных в декабре 2018 года и затем — повторно 4 марта. В целом они заполучили от 6 до 10 Тбайт документов. Как сообщается, речь идёт о проектной документации, связанной с аэрокосмической промышленностью, ФБР, NASA и государственной нефтяной компанией Саудовской Аравии. Злоумышленники, возможно, получили доступ к серверам очень давно. Как считает Чарльз Ю (Charles Yoo) из Resecurity, специалисты Iridium проникли в сеть Citrix примерно 10 лет назад и с тех пор им удавалось действовать скрытно.

 

 

Исследователи сказали, что сообщили Citrix о первой атаке 28 декабря. Хотя компания сделала ряд шагов после того, как ФБР связалась с нею 6 марта, не ясно, решила ли Citrix эту проблему тогда. Компания заявила, что начала подробное расследование и привлекла неназванную фирму, занимающуюся вопросами безопасности, а также предприняла действия, чтобы заблокировать несанкционированный доступ к своей сети.

 

 
Citrix подчеркнула, что нет никаких признаков, что злоумышленники взломали её продукты или услуги. Однако в данном случае это не главная проблема. Как государственный подрядчик, который занимается сетевыми технологиями и облачными услугами, Citrix может хранить конфиденциальные данные других компаний. Например, она может быть осведомлена о сетевой структуре различных органов США и их мерах безопасности. Последствия могут быть довольно серьёзными.