El FBI investiga (ME-000092-TT) un nuevo hackeo a una de las empresas más grande de servicios de IT. Esta vez, la víctima ha sido Citrix, compañía líder de software, que maneja varios proyectos relacionados con agencias gubernamentales de EE.UU, como el ejercito, FBI, agencia de comunicaciones de la Casa Blanca, entre otros.
Según el reporte que comparte NBC News, los atacantes son el grupo iraní IRIDIUM, ya conocidos por sus ataques contra objetivos importantes, como agencias gubernamentales, compañías de petróleo, entre otros. Estos atacantes se valieron de vulnerabilidades en las cuentas de los empleados de la compañía, para lograr acceso a la red interna de Citrix, según los informes preliminares.
password spraying
Citrix reveló el viernes que el FBI se contactó con Citrix sobre “ciberdelincuentes internacionales” que ingresaron a las redes de la compañía. Los federales le dijeron a Citrix que es probable que los atacantes entraran al sistema al adivinar con éxito la contraseña débil de una cuenta de la empresa mediante una táctica conocida como password spraying. En un ataque tradicional de fuerza bruta, se intenta obtener acceso no autorizado a una sola cuenta adivinando la contraseña. Esto puede hacer que una cuenta específica se bloquee rápidamente, ya que las políticas de bloqueo de cuenta comúnmente utilizadas permiten de tres a cinco intentos incorrectos durante un período de tiempo establecido. Durante un ataque de password spraying (también conocido como el método “low-and-slow”), se intenta una única contraseña en muchas cuentas antes de continuar con una segunda contraseña, y así sucesivamente. Esta técnica permite que el actor permanezca sin ser detectado, evitando bloqueos de cuenta rápidos o frecuentes.
El ataque
Investigadores de Resecurity comentaron que se produjeron dos ataques, en diciembre de 2018 y el 4 de marzo de este año; aunque consideran la posibilidad de que hayan estado años dentro de la red de Citrix. Resecurity menciona que se robaron hasta 10 TB de datos de proyectos relacionados con la NASA, FBI, entre otros; pero Citrix ha lanzado un comunicado diciendo que aún no tienen información precisa:
Si bien nuestra investigación continúa, según lo que sabemos hasta la fecha, parece que los piratas informáticos pueden haber accedido y descargado documentos comerciales. Sin embargo, actualmente se desconocen los documentos específicos a los que se pudo acceder. En este momento, no hay indicios de que se haya comprometido la seguridad de ningún producto o servicio de Citrix.
Los investigadores de Resecurity ya reportaron en diciembre de 2018 que el grupo de cibercriminales IRIDIUM habían atacado a más de 200 gobiernos, compañías de gas y petróleo o compañías tecnológicas entre otras. Por otro lado, el Presidente de Resecurity ha afirmado para NBC News que IRIDIUM logró acceder a la red interna de Citrix hace 10 años y que han permanecido dentro de la infraestructura desde entonces, accediendo posiblemente a información sensible.
La noticia de este incidente de seguridad ha llegado a Forbes, los cuales han manifestado la gravedad del incidente dado que -como comentan- Citrix provee servicios a más de 400.000 compañías y alrededor del 98% de las compañías dentro de la lista Fortune 500.
- Azure AD and ADFS best practices: Defending against password spray attacks
- Spray you, spray me: defending against password spraying attacks