Le réseau interne de Citrix Systems a été piraté par des cybercriminels internationaux qui ont pu accéder et télécharger des documents commerciaux. L’entreprise a reconnu le piratage dans un billet de blog vendredi dernier.
Stan Black, le responsable de la sécurité et de l’information de Citrix, a écrit que le FBI avait contacté l’entreprise mercredi dernier. Le FBI a dit à Citrix qu’il avait des raisons de croire qu’il y avait eu une attaque réussie du réseau de l’entreprise par des parties étrangères.
Selon Stan Black, aucun produit ou service Citrix n’a été compromis. « Il semblerait que les pirates aient accédé à des documents commerciaux et les aient téléchargés. Cependant, les documents spécifiques qui ont pu être consultés sont actuellement inconnus « , a écrit Stan Black. Il a noté que l’enquête sur les pirates informatiques est en cours.
Suite aux retombées de cet acte, Citrix a déclaré qu’elle avait pris des mesures en lançant une enquête scientifique, en engageant une société de cybersécurité pour aider l’entreprise, en prenant des mesures pour sécuriser son réseau interne et en continuant à coopérer avec le FBI.
Stan Black a déclaré que, bien que cela n’ait pas encore été confirmé, le FBI croit qu’une technique appelée « Password Spraying » ou « pulvérisation de mots de passe » a été utilisée pour obtenir l’accès. La pulvérisation de mots de passe fait référence à une tactique utilisée par les pirates pour exploiter des mots de passe faibles. Une fois que le pirate a pris pied avec un accès limité, il peut contourner les couches de sécurité supplémentaires.
« Citrix regrette profondément l’impact que cet incident pourrait avoir sur les clients affectés, » écrit Stan Black. Il a fait remarquer que Citrix continuera d’afficher des mises à jour et de travailler avec les organismes d’application de la loi pour comprendre les détails de l’infraction.
La semaine dernière, quelques jours seulement avant d’être contacté par le FBI, Citrix a fait plusieurs mises à jour de son produit SD-WAN pour le rendre plus sûr.
Un groupe de pirates iraniens pourrait être à l’origine de l’attaque
Il y a 15 jours, la société de recherche en sécurité Resecurity International a fait allusion à la possibilité d’obtenir plus de détails sur le piratage. Dans un article publié sur son site, la firme de recherche a déclaré qu’elle avait communiqué avec Citrix et les organismes d’application de la loi en décembre, avant que le piratage ne soit rendu public. Selon le président de Resecurity Charles Yoo, Citrix a été piraté une fois en décembre et de nouveau lundi dernier.
Selon Resecurity, un groupe lié à l’Iran, connu sous le nom d’Iridium, est derrière l’attaque. Iridium utilise des techniques exclusives pour contourner l’autorisation d’applications et de services critiques afin d’accéder à des canaux de réseau privés virtuels et à des systèmes à signature unique.
Dans le cas de Citrix, la société a déclaré qu’Iridium a pu accéder à 6 téraoctets de données sensibles stockées sur le réseau Citrix. Cela comprend les courriels, les fichiers dans les partages réseau et les services utilisés pour la gestion de projet et l’approvisionnement.
« L’incident a été identifié comme faisant partie d’une campagne de cyberespionnage sophistiquée soutenue par l’État-nation en raison du fort ciblage sur le gouvernement, le complexe militaro-industriel, les sociétés énergétiques, les institutions financières et les grandes entreprises impliquées dans des secteurs critiques de l’économie », a écrit le cabinet dans son courrier.
Selon Resecurity, ce groupe a touché plus de 200 organismes gouvernementaux, sociétés pétrolières et gazières et sociétés technologiques (comme Citrix).
Alors que le message original de Resecurity disait que l’attaque avait été organisée pendant la période de Noël, il a dit à NBC que le groupe avait peut-être piraté le réseau Citrix il y a 10 ans. Charles Yoo a déclaré au groupe de nouvelles que les pirates informatiques » se cachent à l’intérieur du système de l’entreprise depuis lors « .
https://www.pcmag.com/news/367061/vpn-provider-citrix-hacked-up-to-6tb-of-data-accessed
