Géant des logiciels de réseautage Systèmes Citrix affirme que des pirates informatiques malveillants ont pénétré dans ses réseaux pendant cinq mois entre 2018 et 2019, emportant des données personnelles et financières sur les employés de l’entreprise, les sous-traitants, les stagiaires, les candidats à un emploi et les personnes à leur charge. La divulgation intervient près d’un an après que Citrix a reconnu que des intrus numériques étaient entrés par effraction en sondant les comptes de ses employés à la recherche de mots de passe faibles.
Citrix fournit des logiciels utilisés par des centaines de milliers de clients dans le monde, y compris la plupart des entreprises du Fortune 100. Il est peut-être mieux connu pour la vente de logiciels de réseau privé virtuel (VPN) qui permettent aux utilisateurs d’accéder à distance aux réseaux et aux ordinateurs via une connexion cryptée.
En mars 2019, le Bureau fédéral d’enquête (FBI) a alerté Citrix qu’ils avaient des raisons de croire que des cybercriminels avaient eu accès au réseau interne de l’entreprise. Le FBI a déclaré à Citrix que les pirates informatiques sont probablement entrés en utilisant une technique appelée « pulvérisation de mot de passe», une attaque relativement grossière mais remarquablement efficace qui tente d’accéder à un grand nombre de comptes d’employés (noms d’utilisateur/adresses e-mail) en utilisant seulement une poignée de mots de passe courants.
Dans une déclaration publié à l’époque, Citrix a déclaré qu’il semblait que des pirates « pouvaient avoir accédé et téléchargé des documents commerciaux » et qu’il travaillait toujours pour identifier précisément ce qui avait été consulté ou volé.
Mais dans une lettre envoyée aux personnes concernées en date du 10 février 2020, Citrix a divulgué des détails supplémentaires sur l’incident. Selon la lettre, les attaquants « ont eu un accès intermittent » au réseau interne de Citrix entre le 13 octobre 2018 et le 8 mars 2019, et qu’il n’y avait aucune preuve que les cybercriminels restent encore dans les systèmes de l’entreprise.
Citrix a déclaré que les informations recueillies par les intrus pouvaient inclure des numéros de sécurité sociale ou d’autres numéros d’identification fiscale, des numéros de permis de conduire, des numéros de passeport, des numéros de compte financier, des numéros de carte de paiement et / ou des informations limitées sur les réclamations de santé, telles que le numéro d’identification du participant à l’assurance maladie. et/ou revendique des informations relatives à la date du service et au nom du fournisseur.
On ne sait pas combien de personnes ont reçu cette lettre, mais la communication suggère que Citrix contacte un large éventail de personnes qui travaillent ou ont travaillé pour l’entreprise à un moment donné, ainsi que celles qui ont postulé pour des emplois ou des stages là-bas et les personnes qui ont pu recevoir santé ou d’autres avantages de l’entreprise en raison du fait qu’un membre de la famille est employé par l’entreprise.
La lettre de Citrix a été motivée par des lois dans pratiquement tous les États américains qui obligent les entreprises à informer les consommateurs concernés de tout incident mettant en péril leurs données personnelles et financières. Bien que la notification ne précise pas si les attaquants ont volé des données exclusives sur les logiciels et les opérations internes de l’entreprise, les intrus ont certainement eu amplement l’occasion d’accéder également à au moins certaines de ces informations.
Peu de temps après que Citrix a initialement révélé l’intrusion en mars 2019, une société de sécurité peu connue Sécurité revendiqué il avait des preuves que les pirates iraniens étaient responsables, étaient dans le réseau de Citrix depuis des années et avaient déchargé des téraoctets de données. Resecurity a également présenté la preuve qu’elle avait informé Citrix de la violation dès le 28 décembre 2018, une affirmation que Citrix a initialement niée mais reconnue plus tard.
Des pirates informatiques iraniens ont récemment été accusés d’avoir piraté des serveurs VPN dans le monde entier dans le but d’implanter des portes dérobées dans les grands réseaux d’entreprise. UNE rapport publié cette semaine (PDF) par entreprise de sécurité Ciel clair détaille comment les unités de piratage soutenues par le gouvernement iranien ont été occupées à exploiter les failles de sécurité dans les produits VPN populaires de Citrix et d’un certain nombre d’autres éditeurs de logiciels.
ClearSky affirme que les attaquants se sont concentrés sur l’attaque des outils VPN, car ils offrent une présence durable dans les organisations ciblées et ouvrent fréquemment la porte à la violation d’autres entreprises par le biais d’attaques de la chaîne d’approvisionnement. La société affirme que de telles tactiques ont permis aux pirates iraniens d’avoir un accès persistant aux réseaux d’entreprises dans un large éventail de secteurs, notamment l’informatique, la sécurité, les télécommunications, le pétrole et le gaz, l’aviation et le gouvernement.
Parmi les failles VPN disponibles pour les attaquants se trouve une vulnérabilité récemment corrigée (CVE-2019-19781) dans les serveurs Citrix VPN surnommés « Shitrix » par certains membres de la communauté de la sécurité. Le surnom dérisoire a peut-être été choisi car alors que Citrix a initialement averti les clients de la vulnérabilité à la mi-décembre 2019il n’a commencé à publier des correctifs pour boucher les trous que fin janvier 2020 – environ deux semaines après que les attaquants ont commencé à utiliser code d’exploitation rendu public pénétrer dans des organisations vulnérables.
Comment votre organisation résisterait-elle à une attaque par pulvérisation de mot de passe ? Comme le montre le hack Citrix, si vous ne le savez pas, vous devriez probablement vérifier, puis agir en fonction des résultats en conséquence. Il y a fort à parier que les méchants le découvriront même si vous ne le faites pas.