Крупный американский разработчик ПО, компания Citrix, чьими продуктами пользуются более 400 000 фирм по всему миру, включая 98% компаний из списка Fortune 500, подвергся компрометации.
Глава кибербезопасности компании Стен Блэк (Stan Black) пишет, что о происходящем в Citrix узнали на прошлой неделе, благодаря предупреждению, полученному от ФБР. Правоохранители сообщили, что неназванная международная хакерская группа ранее получила доступ к внутренней сети Citrix. По данным ФБР, злоумышленники использовали тактику «password spraying», то есть попросту обнаружили и использовали ненадежные пароли, а затем постепенно проникли глубже в инфраструктуру компании.
В настоящее время ведется расследование, но Блэк подтвердил, что злоумышленники могли получить доступ и загрузить некую деловую документацию, хотя какую именно, еще только предстоит выяснить. Также представители компании подчеркнули, что пока нет никаких свидетельств того, что хакеры могли нарушить целостность ПО и других продуктов Citrix.
Тогда как официальных данных об инциденте крайне мало, представители ИБ-компании Resecurity сообщили журналистам NBC, что за взлом Citrix ответственна группа иранских хакеров Iridium. Аналогичный пресс-релиз специалисты разместили и на своем сайте. Эксперты Resecurity утверждают, что взлом произошел в декабре 2018 года, хакерам каким-то образом удалось обойти двухфакторную аутентификацию и похитить от 6 до 10 Тб данных (включая письма, чертежи и другую документацию). Более того, в Resecurity полагают, что злоумышленники могли получить доступ к внутренней сети компании еще около 10 лет (sic!) тому назад. Представители Citrix отказались как-либо комментировать эти заявления Resecurity.