美国软件及云端运算科技大厂 Citrix 遭骇客集团攻击,有超过 6TB 以上的资讯、信件及机密遭窃取,其中最大的受害者,包括发包给 Citrix 进行网络情资专案的白宫、FBI 及其他美国军方单位。网络安全公司 Resecurity 表示,攻击者身份为伊朗骇客集团 Iridium,并强调该集团极可能在 10 年前就已渗透进 Citrix,长期潜伏在内部网络里。
FBI 介入调查,骇客以“密码喷洒”手法窃取多个 Citrix 员工账户
该消息引发资安界的热烈讨论。Citrix 在全球有近 40 万家企业客户,服务对象涵盖财星 500 强中 98% 的公司。该公司其中一项主要业务为提供政府及企业单位可以远端存取内部网络的相关软件与技术,让员工可用自己的电脑及手机远端工作。
Citrix 资安长 Stan Black 表示,截至目前为止,公司还不清楚攻击者已获取了哪些档案、以及他们已在内部网络里潜伏了多久。关于攻击者的身份,Black 仅表示,其为一跨国网络犯罪组织,并没有透露该组织源自哪一个国家。Black 也强调骇客并未获取 Citrix 客户的相关数据资料。
▲ “密码喷洒”是指骇客用一个强度较弱的密码去配对多个不同员工账号,进而攻破账户入侵内部网络。(Source:Flickr/Blogtrepreneur CC BY 2.0)
FBI 目前已介入调查,他们认为骇客是以一种叫“密码喷洒”(Password Spraying)的方式进行攻击。密码喷洒是指骇客用一个强度较弱的密码去配对多个不同员工账号,进而攻破账户入侵内部网络。
伊朗是幕后黑手?政府的网络服务承包商成资安破口
虽然 Citrix 和 FBI 都对攻击者身份有所保留,同样侦查到这波攻击的 Resecurity 首席执行官 Charles Yoo 表示,攻击者是伊朗政府支持的骇客集团 Iridium。Yoo 说,Iridium 是近期针对近 200 多间美国官方机构、石油大厂与科技公司进行网络攻击的幕后黑手,并强调该集团有多年跨国网络间谍行动的经验,澳洲与英国国会都曾受其所“骇”。
Resecurity 长年追踪与伊朗政府有关联的骇客组织,表示其有理由相信 Iridium 早在 10 年前就已骇进 Citrix,潜伏于其系统内。Yoo 也表示,根据他们的网络攻击研究显示,骇客的攻击重点着重于 FBI、NASA 与航太工程的相关计划,以及美国和沙特阿拉伯的国营石油企业 Saudi Aramco 的合作计划等。
对于 Resecurity 提供的说法,Citrix 发言人不予置评,强调会在得到进一步可靠消息后再提供外界更多资讯。
针对 Citrix 的攻击事件,美国国土安全局的前任资深官员 Suzanne Spaulding 表示,政府的网络服务承包商已成了骇客窃取国家机密的重要跳板。他们让骇客可以绕过政府机构强大的网络防护机制,从民间找到破口入侵政府网络。她说,透过这个破口,骇客们有机会对政府防护网的结构进行更多分析,进而提升被攻破的风险。
- Iranian-backed hackers stole data from major U.S. government contractor
- Iranian-backed hackers ransacked Citrix, swiped 6TB+ of emails, docs, secrets, claims cyber-biz
(本文由 数位时代 授权转载;首图来源:shutterstock)
