Popular empresa de software empresarial Citrix que brinda servicios al ejército de EE. UU., el FBI, muchas corporaciones de EE. UU. y varias agencias gubernamentales de EE. UU. revelaron el fin de semana pasado una violación masiva de datos de su red interna por parte de «ciberdelincuentes internacionales».
Citrix dijo que el FBI le advirtió el miércoles que piratas informáticos extranjeros comprometieron sus sistemas de TI y robaron «documentos comerciales», y agregó que la compañía no sabe con precisión qué documentos obtuvieron los piratas informáticos ni cómo ingresaron.
Sin embargo, el FBI cree que los malhechores probablemente usaron un ataque de «rociado de contraseñas» en el que los atacantes adivinaron contraseñas débiles para obtener un punto de apoyo temprano en la red de la compañía para lanzar ataques más extensos.
«Si bien no está confirmado, el FBI ha informado que los piratas informáticos probablemente usaron una táctica conocida como rociado de contraseñas, una técnica que explota contraseñas débiles. Una vez que se afianzaron con acceso limitado, trabajaron para eludir capas adicionales de seguridad», dijo Citrix en una entrada de blog
Aunque Citrix no reveló muchos detalles sobre la violación, los investigadores de la firma de seguridad de la información Resecurity arrojaron más luz sobre el incidente, afirmando que antes había alertado a los federales y a Citrix sobre el «ataque dirigido y la violación de datos».
Resecurity dijo que el respaldo iraní grupo de hackers IRIDIUM golpeó a Citrix en diciembre del año pasado y nuevamente el lunes (4 de marzo) y robó al menos 6 terabytes de archivos internos confidenciales, incluidos correos electrónicos, planos y otros documentos.
IRIDIUM es un grupo de piratería vinculado a Irán que también estuvo detrás de los recientes ataques cibernéticos contra más de 200 agencias gubernamentales en todo el mundo, compañías de petróleo y gas, compañías de tecnología y otros objetivos.
Las técnicas patentadas de IRIDIUM incluyen eludir las autenticaciones de múltiples factores para aplicaciones y servicios críticos para un mayor acceso no autorizado a canales VPN y SSO (Single Sign-On).
La violación masiva de datos en Citrix ha sido identificada como parte de «una sofisticada campaña de espionaje cibernético apoyada por el estado-nación debido a la fuerte orientación hacia el gobierno, el complejo militar-industrial, las empresas de energía, las instituciones financieras y las grandes empresas involucradas en áreas críticas de la economía», dijo Resecurity en una publicación de blog.
«Según nuestro análisis reciente, los actores de amenazas aprovecharon una combinación de herramientas, técnicas y procedimientos (TTP) que les permitieron realizar intrusiones de red específicas para acceder al menos a 6 terabytes de datos confidenciales almacenados en la red empresarial de Citrix, incluida la correspondencia por correo electrónico, archivos en recursos compartidos de red y otros servicios utilizados para la gestión de proyectos y adquisiciones «.
El presidente de Resecurity, Charles Yoo, dijo a NBC News que IRIDIUM irrumpió en la red interna de Citrix hace unos 10 años y ha estado al acecho dentro del sistema de la empresa desde entonces.
La compañía con sede en Florida enfatizó que no había señales de que los piratas informáticos comprometieran ningún producto o servicio de Citrix, y que lanzó una «investigación forense», contrató a una importante compañía de seguridad cibernética y tomó «acciones» para proteger su red interna.
Al igual que la violación de OPM, las consecuencias del incidente de seguridad de Citrix podrían afectar a una gama más amplia de objetivos, ya que la empresa posee datos confidenciales de otras empresas, incluida la infraestructura crítica, el gobierno y las empresas.
