美國軟體及雲端運算科技大廠 Citrix 遭駭客集團攻擊,有超過 6TB 以上的資訊、信件及機密遭竊取,其中最大的受害者,包括發包給 Citrix 進行網路情資專案的白宮、FBI 及其他美國軍方單位。網路安全公司 Resecurity 表示,攻擊者身分為伊朗駭客集團 Iridium,並強調該集團極可能在 10 年前就已滲透進 Citrix,長期潛伏在內部網路裡。
FBI 介入調查,駭客以「密碼噴灑」手法竊取多個 Citrix 員工帳戶
該消息引發資安界的熱烈討論。Citrix 在全球有近 40 萬家企業客戶,服務對象涵蓋財星 500 強中 98% 的公司。該公司其中一項主要業務為提供政府及企業單位可以遠端存取內部網路的相關軟體與技術,讓員工可用自己的電腦及手機遠端工作。
Citrix 資安長 Stan Black 表示,截至目前為止,公司還不清楚攻擊者已獲取了哪些檔案、以及他們已在內部網路裡潛伏了多久。關於攻擊者的身分,Black 僅表示,其為一跨國網路犯罪組織,並沒有透露該組織源自哪一個國家。Black 也強調駭客並未獲取 Citrix 客戶的相關數據資料。
▲ 「密碼噴灑」是指駭客用一個強度較弱的密碼去配對多個不同員工帳號,進而攻破帳戶入侵內部網路。(Source:Flickr/Blogtrepreneur CC BY 2.0)
FBI 目前已介入調查,他們認為駭客是以一種叫「密碼噴灑」(Password Spraying)的方式進行攻擊。密碼噴灑是指駭客用一個強度較弱的密碼去配對多個不同員工帳號,進而攻破帳戶入侵內部網路。
伊朗是幕後黑手?政府的網路服務承包商成資安破口
雖然 Citrix 和 FBI 都對攻擊者身分有所保留,同樣偵查到這波攻擊的 Resecurity 執行長 Charles Yoo 表示,攻擊者是伊朗政府支持的駭客集團 Iridium。Yoo 說,Iridium 是近期針對近 200 多間美國官方機構、石油大廠與科技公司進行網路攻擊的幕後黑手,並強調該集團有多年跨國網路間諜行動的經驗,澳洲與英國國會都曾受其所「駭」。
Resecurity 長年追蹤與伊朗政府有關聯的駭客組織,表示其有理由相信 Iridium 早在 10 年前就已駭進 Citrix,潛伏於其系統內。Yoo 也表示,根據他們的網路攻擊研究顯示,駭客的攻擊重點著重於 FBI、NASA 與航太工程的相關計畫,以及美國和沙烏地阿拉伯的國營石油企業 Saudi Aramco 的合作計畫等。
對於 Resecurity 提供的說法,Citrix 發言人不予置評,強調會在得到進一步可靠消息後再提供外界更多資訊。
針對 Citrix 的攻擊事件,美國國土安全局的前任資深官員 Suzanne Spaulding 表示,政府的網路服務承包商已成了駭客竊取國家機密的重要跳板。他們讓駭客可以繞過政府機構強大的網路防護機制,從民間找到破口入侵政府網路。她說,透過這個破口,駭客們有機會對政府防護網的結構進行更多分析,進而提升被攻破的風險。
- Iranian-backed hackers stole data from major U.S. government contractor
- Iranian-backed hackers ransacked Citrix, swiped 6TB+ of emails, docs, secrets, claims cyber-biz
(本文由 數位時代 授權轉載;首圖來源:shutterstock)