Softwarebedrijf Citrix meldt inbraak op interne netwerk
Softwarebedrijf Citrix is getroffen door een aanval waarbij onbekenden toegang tot het interne netwerk hebben verkregen, zo laat het bedrijf in een blogposting weten. Citrix werd door de FBI geïnformeerd dat aanvallers het interne Citrix-netwerk waren binnengedrongen.
Het softwarebedrijf stelde daarop een onderzoek in, wat lijkt te suggereren dat de aanvallers zakelijke documenten hebben gedownload, zo stelt het softwarebedrijf. Om wat voor documenten het precies gaat is nog onbekend. Citrix ontwikkelt onder andere software voor desktopvirtualisatie, thin clients en software as a service. Het bedrijf claimt meer dan 400.000 klanten te hebben, waaronder 98 procent van de Fortune 500-bedrijven. Citrix verklaart dat erop dit moment geen aanwijzingen zijn dat de veiligheid van de eigen producten of diensten gecompromitteerd is.
Volgens de FBI hebben de aanvallers waarschijnlijk gebruik gemaakt van "password spraying". Dit is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om toegang tot een account te krijgen. Zodra er toegang is verkregen wordt geprobeerd om aanwezige beveiligingslagen te omzeilen. Vorig jaar waarschuwde de Amerikaanse overheid nog dat bedrijven en organisaties via password spraying werden aangevallen. Citrix merkt op dat het nog niet is bevestigd dat de aanvallers op deze manier zijn binnengekomen.
In een blogposting laat securitybedrijf Resecurity weten dat het Citrix op 28 december vorig jaar waarschuwde voor de aanval en datadiefstal. Daarbij zouden de aanvallers minstens 6 terabyte aan gevoelige data hebben buitgemaakt, waaronder e-mailcorrespondentie, bestanden op gedeelde netwerkmappen en van diensten voor projectmanagement en inkoop. Tegenover NBC News voegt het securitybedrijf toe dat de aanvallers via verschillende gecompromitteerde accounts van medewerkers toegang hebben gekregen.
Hoe zielig is dit. Dat je door een externe partij verteld moet worden dat je eigen netwerk lek is. Zat de FBI ook (illegaal) op dat netwerk?....
TheYOSH
(was dat niet de naam van een chromium-fgebaseerde privacy browser
of anders een bestaand satelliet-telefoon-systeem).
Re:https://www.theregister.co.uk/2019/03/08/citrix_hacked_data_stolen/
In ieder geval zijn er verbanden met Iraanse hackers met ondermeer Braziliaanse ondersteuning
(De zogeheten Mr. Bean-route link). Oorzaken: (te) zwakke wachtwoordbeveiliging en netwerkbeveiliging.
Codeurs, die veilige code knippen en plakken voor 100 euro per dag zonder specificaties vooraf.
Job moet af zijn in 2-3 dagen. In Berlijn betalen ze wat meer als in Londen,
Dat je er je bed nog voor uit komt, behalve als beginner.
Op zo'n manier en voor dat geld kan je nog geen plee laten bouwen, die voldoet aan de standaard eisen.
Waar je om gevraagd hebt, daar moet je wel later op zitten en dan niet klagen als het te veel gaat stinken. ;)
#sockpuppet
Hoe zielig is dit. Dat je door een externe partij verteld moet worden dat je eigen netwerk lek is. Zat de FBI ook (illegaal) op dat netwerk?....
TheYOSH
Hoe zielig is dit, zo'n reactie van YOSH?
Zonder enige extra informatie is hier helemaal niets over te zeggen. Kan heel goed zat de FBI op bewijs ergens is gestuit dat dit deze hack liet zien. Deze kans is heel groter, aangezien CIA en NSA meestal alleen hacken....
Daarnaast als men al lang op het netwerk zit, kan je heel goed ongedetecteerd actief blijven. Immers je hebt alle tijd en kan rustig je gang gaan.
Maar even quoten:
Mar 8, 2019 Cyberespionage
The Iranian-linked group known as IRIDIUM has hit more than 200 government agencies, oil and gas companies and technology companies including Citrix Systems, Inc.
Resecurity has shared the acquired intelligence with law enforcement and partners for mitigation.
Friday, December 28, 2018 at 10:25 AM – Resecurity has reached out to Citrix and shared early warning notification about targeted attack and data breach. Based on the timing and further dynamics, the attack was planned and organized specifically during Christmas period.
Hoe zielig is dit. Dat je door een externe partij verteld moet worden dat je eigen netwerk lek is. Zat de FBI ook (illegaal) op dat netwerk?....
TheYOSH
Hoe zielig is dit, zo'n reactie van YOSH?
Zonder enige extra informatie is hier helemaal niets over te zeggen. Kan heel goed zat de FBI op bewijs ergens is gestuit dat dit deze hack liet zien. Deze kans is heel groter, aangezien CIA en NSA meestal alleen hacken....
Daarnaast als men al lang op het netwerk zit, kan je heel goed ongedetecteerd actief blijven. Immers je hebt alle tijd en kan rustig je gang gaan.
Ik wil niet lullig doen maar Citrix verkoopt zelf tools om inbraken te detecteren en daarnaast is Citrix geen MKB'tje maar een serieus groot bedrijf dat zich 24x7 monitoring kan veroorloven en dat ook zou moeten doen. Van zo'n bedrijf mag je best van verwachten dat het netwerk gemonitord wordt door minimaal iets van IPS/IDS en een SIEM oplossing. Kort gezegd, afwijkend verkeer had gewoon moeten opvallen, zeker als dit over langere termijn plaatsvind.
Elke organisatie van groot belang die nu nog over de naïeve gedachtegang beschikt dat hen niets kan overkomen vraagt er gewoon om dat ze worden gep0wned. Bij Citrix hebben de beheerders gewoon liggen slapen, er is geen andere conclusie te trekken.
Dus ja, het is heel zielig dat een buitenstaander jou als bedrijf moet melden dat je gehacked bent. Zeker als je ook nog eens Citrix heet.
Ik wil niet lullig doen maar Citrix verkoopt zelf tools om inbraken te detecteren en daarnaast is Citrix geen MKB'tje maar een serieus groot bedrijf dat zich 24x7 monitoring kan veroorloven en dat ook zou moeten doen. Van zo'n bedrijf mag je best van verwachten dat het netwerk gemonitord wordt door minimaal iets van IPS/IDS en een SIEM oplossing. Kort gezegd, afwijkend verkeer had gewoon moeten opvallen, zeker als dit over langere termijn plaatsvind.
Iedereen weet dat het voor een bedrijf veelal niet de vraag is of je gepwned wordt, maar wanneer je gepwned wordt. Vandaar: defense in depth, assume breach, segmenteren, least privilege, need to know, segregation of concerns, en ik kan zo nog wel even doorgaan. Met enkel een firewall, IPS en een SIEM ben je er gewoon niet.
Lang verhaal kort: effe dimmen. Ik weet het hele verhaal niet, en jij ook niet.
Elke organisatie van groot belang die nu nog over de naïeve gedachtegang beschikt dat hen niets kan overkomen vraagt er gewoon om dat ze worden gep0wned. Bij Citrix hebben de beheerders gewoon liggen slapen, er is geen andere conclusie te trekken.
Dus ja, het is heel zielig dat een buitenstaander jou als bedrijf moet melden dat je gehacked bent. Zeker als je ook nog eens Citrix heet.
Juist als men al heel lang binnen is, is het juist heel lastig te detecteren. Misschien was het verkeer als "normaal" gezien, of verzin iets. Tenzij je zelf insider kennis hebt, is er eigenlijk niets over zeggen. Afgezien "aye skipper", lees stuurlui aan wal.....
Maar het komt de reputatie natuurlijk niet tegoeden als securitybedrijf.
Juist een heel mooi voorbeeld is https://www.security.nl/posting/600952/Verdachte+query+leidde+naar+datadiefstal+hotelketen+Marriott
Starwood maakte gebruik van een beveiligingssysteem voor databases. Dit systeem genereerde op 7 september 2018 een waarschuwing nadat een verdachte query was ontdekt. De query was afkomstig van het account van een systeembeheerder. Verder onderzoek wees uit dat de eigenaar van het account niet de query had uitgevoerd. Hierop werd een groter onderzoek ingesteld, wat op 17 september tot de ontdekking van een remote access trojan (RAT) leidde.
Ofwel 1 klein foutje veroorzaakte de detectie. Waarbij deze ook gemakkelijk niet gedetecteerd had kunnen worden. Wie weet hoe lang ze an niet binnen waren?
Denk aan de drie beleidsmedewerkers, die onlangs nog ontdekt zijn als politie-mol.
Die krijgen nu van z'n lang zal die leven geen VOG meer van het ministerie.
Met de huidige verwevenheid van criminaliteit tussen hoogste en laagste kringen,
verbaast me niets meer. Aan je neus valt het niet te zien.
Ook de logs ten aanzien van password spraying is vaak niet veel te zien
of John the Password Ripper in eigen persoon moet er de checks hebben gedaan.
Te veel mensen met te veel vrije tijd de laatste tijd, te veel op shodan zitten en dazzle-botjes draaiend.
Wat we nodig hebben is een Taskforce a la the Untouchables uit de dagen van Al Capone,
maar dan in moderne cyberthreat-setting.
Drain that Cyberswamp, boys - en hier met al je Teeven bonnetjes.
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
