Citrix-hack, kezdenek megjelenni a bizonyítékszerűségek

Tovább bonyolódik (tisztul?) a Citrix-ügy.

A Resecurity biztonsági cég állítása szerint még február 28-án értesítették a Citrix-et, hogy ellenük irányuló célzott támadás jeleit észlelték. Most megjelentették az első bizonyítékokat.

A Citrix március 6-án értesítette az ügyfeleket a támadással kapcsolatban (tehát az már biztos, hogy incidens következett be), bár a postban azt állítják, hogy őket az FBI értesítette a támadásról.

A Resecurity szerint a támadás az IRIDIUM nevű iráni csoport művelete volt, akik csaknem 200 korábbi, kormányzati szervet, olaj- és gázipari valamint technológiai céget érintő támadás elkövetéséért is felelősek.

A Resecurity állítja, a támadók a Citrix munkatársainak hozzáféréseit kompromittálva jutottak be a cég hálózatába és legalább 6TB (legfeljebb 10TB) adathoz (fájlok, levelezés, projekt adatok, stb.) fértek hozzá.

Erre vonatkozóan a Resecurity közzétett néhány screenshotot (érdekes kérdés, hogy honnan???), amelyekből (ha ezek valós proofok) következtetni lehet, hogyan juthattak a támadók a hálózatba, illetve miért állítja a Resecurity, hogy LEGALÁBB 6TB adathoz hozzáférhettek a támadók.

A 32 ezer Citrix felhasználó adataiban jelszó nem található, mivel ez a levelezőszerver központi címtárának (GAL) exportja lehetett feltehetően. A Resecurity password spray-jellegű támadásra tippel a jelszavakkal kapcsolatban, ha ez így van, a gyenge jelszavak álhatak a sikeres támadás hátterében.

A Resecurity ragaszkodik a legalább 6TB adathoz történő illetéktelen hozzáférés elméletéhez, nem csoda, végül is ezen a képen világosan látszik, hogy az adott meghajtó/share valóban 6TB adatot tartalmaz :)

És persze az adott meghajtó/share folderneveiből lehet következtetni az adott share tartalmára.

Szóval alighanem a Citrix-nek erre valamit mondania kell. A nyilatkozataikban feltűnően ignorálták a Resecurity eddigi megszólalásait, most szerintem megtörik a hallgatás.

Vagy nem.