image

Softwarebedrijf Citrix meldt inbraak op interne netwerk

maandag 11 maart 2019, 11:03 door Redactie, 8 reacties

Softwarebedrijf Citrix is getroffen door een aanval waarbij onbekenden toegang tot het interne netwerk hebben verkregen, zo laat het bedrijf in een blogposting weten. Citrix werd door de FBI geïnformeerd dat aanvallers het interne Citrix-netwerk waren binnengedrongen.

Het softwarebedrijf stelde daarop een onderzoek in, wat lijkt te suggereren dat de aanvallers zakelijke documenten hebben gedownload, zo stelt het softwarebedrijf. Om wat voor documenten het precies gaat is nog onbekend. Citrix ontwikkelt onder andere software voor desktopvirtualisatie, thin clients en software as a service. Het bedrijf claimt meer dan 400.000 klanten te hebben, waaronder 98 procent van de Fortune 500-bedrijven. Citrix verklaart dat erop dit moment geen aanwijzingen zijn dat de veiligheid van de eigen producten of diensten gecompromitteerd is.

Volgens de FBI hebben de aanvallers waarschijnlijk gebruik gemaakt van "password spraying". Dit is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om toegang tot een account te krijgen. Zodra er toegang is verkregen wordt geprobeerd om aanwezige beveiligingslagen te omzeilen. Vorig jaar waarschuwde de Amerikaanse overheid nog dat bedrijven en organisaties via password spraying werden aangevallen. Citrix merkt op dat het nog niet is bevestigd dat de aanvallers op deze manier zijn binnengekomen.

In een blogposting laat securitybedrijf Resecurity weten dat het Citrix op 28 december vorig jaar waarschuwde voor de aanval en datadiefstal. Daarbij zouden de aanvallers minstens 6 terabyte aan gevoelige data hebben buitgemaakt, waaronder e-mailcorrespondentie, bestanden op gedeelde netwerkmappen en van diensten voor projectmanagement en inkoop. Tegenover NBC News voegt het securitybedrijf toe dat de aanvallers via verschillende gecompromitteerde accounts van medewerkers toegang hebben gekregen.

Reacties (8)
11-03-2019, 11:47 door Anoniem
Citrix werd door de FBI geïnformeerd dat aanvallers het interne Citrix-netwerk waren binnengedrongen.

Hoe zielig is dit. Dat je door een externe partij verteld moet worden dat je eigen netwerk lek is. Zat de FBI ook (illegaal) op dat netwerk?....

TheYOSH
11-03-2019, 12:05 door Anoniem
Nergens in het bovenstaande bericht staat dat de hack wordt toegeschreven aan de Iraanse hackersgroep IRIDIUM
(was dat niet de naam van een chromium-fgebaseerde privacy browser
of anders een bestaand satelliet-telefoon-systeem).

Re:https://www.theregister.co.uk/2019/03/08/citrix_hacked_data_stolen/

In ieder geval zijn er verbanden met Iraanse hackers met ondermeer Braziliaanse ondersteuning
(De zogeheten Mr. Bean-route link). Oorzaken: (te) zwakke wachtwoordbeveiliging en netwerkbeveiliging.

Codeurs, die veilige code knippen en plakken voor 100 euro per dag zonder specificaties vooraf.
Job moet af zijn in 2-3 dagen. In Berlijn betalen ze wat meer als in Londen,
Dat je er je bed nog voor uit komt, behalve als beginner.

Op zo'n manier en voor dat geld kan je nog geen plee laten bouwen, die voldoet aan de standaard eisen.
Waar je om gevraagd hebt, daar moet je wel later op zitten en dan niet klagen als het te veel gaat stinken. ;)

#sockpuppet
11-03-2019, 12:33 door Anoniem
Door Anoniem:
Citrix werd door de FBI geïnformeerd dat aanvallers het interne Citrix-netwerk waren binnengedrongen.

Hoe zielig is dit. Dat je door een externe partij verteld moet worden dat je eigen netwerk lek is. Zat de FBI ook (illegaal) op dat netwerk?....

TheYOSH

Hoe zielig is dit, zo'n reactie van YOSH?

Zonder enige extra informatie is hier helemaal niets over te zeggen. Kan heel goed zat de FBI op bewijs ergens is gestuit dat dit deze hack liet zien. Deze kans is heel groter, aangezien CIA en NSA meestal alleen hacken....

Daarnaast als men al lang op het netwerk zit, kan je heel goed ongedetecteerd actief blijven. Immers je hebt alle tijd en kan rustig je gang gaan.
11-03-2019, 13:57 door Anoniem
Zielige figuren zijn jullie, zeg

Maar even quoten:

Mar 8, 2019 Cyberespionage

The Iranian-linked group known as IRIDIUM has hit more than 200 government agencies, oil and gas companies and technology companies including Citrix Systems, Inc.

Resecurity has shared the acquired intelligence with law enforcement and partners for mitigation.

Friday, December 28, 2018 at 10:25 AM – Resecurity has reached out to Citrix and shared early warning notification about targeted attack and data breach. Based on the timing and further dynamics, the attack was planned and organized specifically during Christmas period.
11-03-2019, 15:26 door Anoniem
Door Anoniem:
Door Anoniem:
Citrix werd door de FBI geïnformeerd dat aanvallers het interne Citrix-netwerk waren binnengedrongen.

Hoe zielig is dit. Dat je door een externe partij verteld moet worden dat je eigen netwerk lek is. Zat de FBI ook (illegaal) op dat netwerk?....

TheYOSH

Hoe zielig is dit, zo'n reactie van YOSH?

Zonder enige extra informatie is hier helemaal niets over te zeggen. Kan heel goed zat de FBI op bewijs ergens is gestuit dat dit deze hack liet zien. Deze kans is heel groter, aangezien CIA en NSA meestal alleen hacken....

Daarnaast als men al lang op het netwerk zit, kan je heel goed ongedetecteerd actief blijven. Immers je hebt alle tijd en kan rustig je gang gaan.

Ik wil niet lullig doen maar Citrix verkoopt zelf tools om inbraken te detecteren en daarnaast is Citrix geen MKB'tje maar een serieus groot bedrijf dat zich 24x7 monitoring kan veroorloven en dat ook zou moeten doen. Van zo'n bedrijf mag je best van verwachten dat het netwerk gemonitord wordt door minimaal iets van IPS/IDS en een SIEM oplossing. Kort gezegd, afwijkend verkeer had gewoon moeten opvallen, zeker als dit over langere termijn plaatsvind.
Elke organisatie van groot belang die nu nog over de naïeve gedachtegang beschikt dat hen niets kan overkomen vraagt er gewoon om dat ze worden gep0wned. Bij Citrix hebben de beheerders gewoon liggen slapen, er is geen andere conclusie te trekken.
Dus ja, het is heel zielig dat een buitenstaander jou als bedrijf moet melden dat je gehacked bent. Zeker als je ook nog eens Citrix heet.
11-03-2019, 19:40 door Anoniem
Door Anoniem:
Ik wil niet lullig doen maar Citrix verkoopt zelf tools om inbraken te detecteren en daarnaast is Citrix geen MKB'tje maar een serieus groot bedrijf dat zich 24x7 monitoring kan veroorloven en dat ook zou moeten doen. Van zo'n bedrijf mag je best van verwachten dat het netwerk gemonitord wordt door minimaal iets van IPS/IDS en een SIEM oplossing. Kort gezegd, afwijkend verkeer had gewoon moeten opvallen, zeker als dit over langere termijn plaatsvind.
Als je zelf werkzaam was in security, zou je weten dat je als security team gewoon niet de mankracht hebt om letterlijk alles in de gaten te houden. Beetje hautain om te denken dat jij het beter weet na het lezen van één nieuwsartikeltje. IPS/IDS is absoluut een noodzakelijkheid voor bedrijven van dit formaat, vandaar dat ze dat ook ongetwijfeld hebben, maar IPS/IDS oplossingen zijn geautomatiseerd en detecteren lang niet alles. Ook een SIEM detecteert lang niet alles, en wat het detecteert hangt af van de use cases en processen die er door het security team geïmplementeerd zijn.

Iedereen weet dat het voor een bedrijf veelal niet de vraag is of je gepwned wordt, maar wanneer je gepwned wordt. Vandaar: defense in depth, assume breach, segmenteren, least privilege, need to know, segregation of concerns, en ik kan zo nog wel even doorgaan. Met enkel een firewall, IPS en een SIEM ben je er gewoon niet.

Lang verhaal kort: effe dimmen. Ik weet het hele verhaal niet, en jij ook niet.
12-03-2019, 08:16 door Anoniem
Door Anoniem: Ik wil niet lullig doen maar Citrix verkoopt zelf tools om inbraken te detecteren en daarnaast is Citrix geen MKB'tje maar een serieus groot bedrijf dat zich 24x7 monitoring kan veroorloven en dat ook zou moeten doen. Van zo'n bedrijf mag je best van verwachten dat het netwerk gemonitord wordt door minimaal iets van IPS/IDS en een SIEM oplossing. Kort gezegd, afwijkend verkeer had gewoon moeten opvallen, zeker als dit over langere termijn plaatsvind.
Elke organisatie van groot belang die nu nog over de naïeve gedachtegang beschikt dat hen niets kan overkomen vraagt er gewoon om dat ze worden gep0wned. Bij Citrix hebben de beheerders gewoon liggen slapen, er is geen andere conclusie te trekken.
Dus ja, het is heel zielig dat een buitenstaander jou als bedrijf moet melden dat je gehacked bent. Zeker als je ook nog eens Citrix heet.
Het staat het bedrijf ook niet nietjes. Maar achteraf praten, is altijd erg gemakkelijk. En de beste stuurlui zitten altijd op Security.nl....
Juist als men al heel lang binnen is, is het juist heel lastig te detecteren. Misschien was het verkeer als "normaal" gezien, of verzin iets. Tenzij je zelf insider kennis hebt, is er eigenlijk niets over zeggen. Afgezien "aye skipper", lees stuurlui aan wal.....

Maar het komt de reputatie natuurlijk niet tegoeden als securitybedrijf.

Juist een heel mooi voorbeeld is https://www.security.nl/posting/600952/Verdachte+query+leidde+naar+datadiefstal+hotelketen+Marriott
Starwood maakte gebruik van een beveiligingssysteem voor databases. Dit systeem genereerde op 7 september 2018 een waarschuwing nadat een verdachte query was ontdekt. De query was afkomstig van het account van een systeembeheerder. Verder onderzoek wees uit dat de eigenaar van het account niet de query had uitgevoerd. Hierop werd een groter onderzoek ingesteld, wat op 17 september tot de ontdekking van een remote access trojan (RAT) leidde.
Ofwel 1 klein foutje veroorzaakte de detectie. Waarbij deze ook gemakkelijk niet gedetecteerd had kunnen worden. Wie weet hoe lang ze an niet binnen waren?
12-03-2019, 11:34 door Anoniem
Ook fysiek kunnen ze al lang binnen zitten.

Denk aan de drie beleidsmedewerkers, die onlangs nog ontdekt zijn als politie-mol.

Die krijgen nu van z'n lang zal die leven geen VOG meer van het ministerie.

Met de huidige verwevenheid van criminaliteit tussen hoogste en laagste kringen,
verbaast me niets meer. Aan je neus valt het niet te zien.

Ook de logs ten aanzien van password spraying is vaak niet veel te zien
of John the Password Ripper in eigen persoon moet er de checks hebben gedaan.

Te veel mensen met te veel vrije tijd de laatste tijd, te veel op shodan zitten en dazzle-botjes draaiend.

Wat we nodig hebben is een Taskforce a la the Untouchables uit de dagen van Al Capone,
maar dan in moderne cyberthreat-setting.

Drain that Cyberswamp, boys - en hier met al je Teeven bonnetjes.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.