Citrix Systems avait annonc en mars 2019 que des intrus avaient pntr ses rseaux internes et vol plus de 6 To de donnes financires et personnelles sensibles de ses employs. Dans une lettre, date du 10 fvrier 2020, envoye par lentreprise aux personnes victimes, dont le site krebsonsecurity a obtenu copie, le gant des logiciels de rseau affirme que des pirates informatiques malveillants ont eu accs ses rseaux pendant cinq mois entre 2018 et 2019. Les pirates se sont empars des donnes personnelles et financires sur des employs d’entreprises, des contractants, des stagiaires, des candidats l’emploi et des personnes qui leur sont proches.

Dans la lettre de Citrix, lentreprise a rvl que les cybercriminels ont accd aux donnes par les rseaux pirats entre octobre 2018 et mars 2019. Pendant cette priode, les pirates avaient supprim des systmes des fichiers contenant des informations sensibles. Les fichiers contiennent des informations sur les employs actuels et anciens et des donnes relatives aux bnficiaires, selon la lettre de Citrix. Dans une mise jour de sa dclaration de mars 2019, Citrix avait indiqu quil semblait que les pirates informatiques aient pu accder et tlcharger des documents commerciaux.

Citrix est une multinationale amricaine qui fournit des produits et services de collaboration, de virtualisation et de mise en rseau qui fournit des logiciels utiliss par des centaines de milliers de clients dans le monde entier, dont la plupart des entreprises du classement Fortune 100, ainsi qu l’arme amricaine et divers organismes gouvernementaux amricains. Elle est aussi mieux connue pour la vente de logiciels de rseaux privs virtuels (VPN) qui permettent aux utilisateurs d’accder distance des rseaux et des ordinateurs par le biais d’une connexion chiffre.

Citrix na pas pu empcher les pirates informatiques daccder son rseau dentreprise. En mars 2019, le Federal Bureau of Investigation (FBI) a alert Citrix qu’il avait des raisons de croire que des cybercriminels avaient accd au rseau interne de l’entreprise. Le FBI a dclar Citrix que les pirates informatiques taient probablement entrs en utilisant une technique appele “password spraying”, une attaque relativement grossire, mais remarquablement efficace qui tente d’accder un grand nombre de comptes d’employs en utilisant seulement une poigne de mots de passe courants.

A lpoque la socit avait confirm les soupons du FBI dans un billet de blog, jetant le trouble au-del des primtres du rseau interne de Citrix, car les produits et services Citrix sont utiliss par plus de 400 000 organisations travers le monde, selon CNBC. Une premire enqute lpoque semblait montrer que les attaquants avaient pu obtenir des documents commerciaux. Dans son dernier communiqu, la socit a indiqu qu’elle s’efforait toujours d’identifier prcisment les donnes qui ont t accds ou vols.

Selon le journaliste amricain spcialiste en cyberscurit Brian Krebs, on ne sait pas non plus exactement combien de personnes ont reu cette lettre, mais la communication suggre que Citrix contacte un large ventail de personnes qui travaillent ou ont travaill pour l’entreprise un moment donn. La socit contacte galement des personnes qui ont postul pour un emploi ou un stage dans l’entreprise et les personnes qui ont pu bnficier de prestations de sant ou autres de l’entreprise du fait qu’un membre de leur famille y tait employ. La lettre de Citrix indique aussi quil ny avait aucune preuve que les pirates taient toujours prsents dans les systmes de la socit.

Des numros de scurit sociale et dautres donnes sensibles emportes par les pirates informatiques

Dans sa lettre de fvrier, Citrix a rvl des dtails supplmentaires sur l’incident. La socit a dclar que les informations prises par les intrus pouvaient inclure des numros de scurit sociale ou d’autres numros d’identification fiscale, des numros de permis de conduire, des numros de passeport, des numros de comptes financiers et des numros de cartes de paiement. Des informations limites sur les demandes de remboursement de frais de sant, telles que le numro d’identification du participant l’assurance maladie et/ou des informations sur les demandes de remboursement relatives la date du service et au nom du fournisseur, ont galement t emportes.

En mars 2019, aprs la divulgation de la nouvelle du piratage, Resecurity, une socit de scurit, avait affirm qu’elle avait des preuves de la responsabilit des pirates informatiques iraniens les pirates IRIDIUM qui seraient lis l’Iran. Selon Resecurity, ces pirates taient prsents sur le rseau de Citrix depuis des annes et qu’ils avaient dcharg des traoctets de donnes. La socit de scurit avait galement prsent des preuves qu’elle avait inform Citrix de la brche ds le 28 dcembre 2018, une affirmation que Citrix a d’abord rejete, mais qu’elle a ensuite reconnue.

Par ailleurs, un rcent rapport de la socit de scurit ClearSky a rvl que des pirates informatiques iraniens ont rcemment t impliqus dans des piratages de serveurs VPN dans le monde entier dans le but d’installer des portes drobes dans de grands rseaux d’entreprise. La socit de scurit a dtaill comment les units de piratage soutenues par le gouvernement iranien ont exploit les failles de scurit des produits VPN populaires de Citrix et d’un certain nombre d’autres socits de logiciels.

Selon ClearSky, les attaquants se sont concentrs sur les outils VPN parce qu’ils permettent de s’implanter durablement dans les organisations cibles et qu’ils ouvrent frquemment la porte d’autres entreprises par des attaques de la chane d’approvisionnement. L’entreprise affirme que ces tactiques ont permis aux pirates informatiques iraniens d’obtenir un accs permanent aux rseaux d’entreprises dans un large ventail de secteurs, notamment l’informatique, la scurit, les tlcommunications, le ptrole et le gaz, l’aviation et le gouvernement.

Selon Krebs, la vulnrabilit CVE-2019-19781 figurait parmi les failles de VPN la disposition des attaquants. Citrix a initialement signal cette vulnrabilit, prsente dans les serveurs VPN de Citrix et surnomme “Shitrix” par certains membres de la communaut, ses clients la mi-dcembre 2019. Mais la socit n’a commenc publier des correctifs pour combler les lacunes qu’ la fin janvier 2020, soit environ deux semaines aprs que les attaquants ont commenc utiliser un code d’exploitation publi pour pntrer dans des organisations vulnrables.

Daprs le rapport de krebsonsecurity, la lettre de Citrix a t motive par les lois de pratiquement tous les tats amricains qui exigent que les entreprises notifient aux consommateurs concerns tout incident mettant en pril leurs donnes personnelles et financires. Bien que la notification ne prcise pas si les attaquants ont vol des donnes propritaires sur les logiciels et les oprations internes de l’entreprise, les intrus ont certainement eu amplement l’occasion d’accder au moins une partie de ces informations galement.

Plusieurs autres accusations de violation de systmes impliquent les pirates iraniens. Microsoft a dclar en octobre dernier que des hackers appartenant au groupe Phosphorous, qui seraient soutenus par le gouvernement iranien, ont cibl la campagne d’un candidat la prsidentielle amricaine 2020, dont le nom n’a pas t rvl, en tentant daccder aux comptes de messagerie de son personnel de campagne sur les services cloud Microsoft. Plutt que de sappuyer sur des logiciels malveillants ou dexploiter des vulnrabilits logicielles, les attaquants ont plutt collect des informations pouvant tre utilises pour activer la rinitialisation de mot de passe et dautres services de rcupration de compte fournis par Microsoft.

Le piratage de Citrix qui a dur cinq mois montre encore une fois que les responsables des systmes informatiques devraient constamment vrifier leurs systmes, puis agir en consquence, a recommand Krebsonsecurity.

Source : Krebsonsecurity

Et vous ?

Quen pensez-vous ?
La lettre aux personnes victimes du piratage intervient presquun an aprs la dcouverte de la violation. Quel commentaire en faites-vous ?
Selon-vous, quel serait limpact de cette intrusion de 5 mois sur les nombreux clients de Citrix ?

Lire aussi

Microsoft a dclar qu’un groupe de hackers soutenus par l’Iran a essay de pirater, un candidat la prsidentielle amricaine de 2020
GitHub confirme avoir bloqu les dveloppeurs en Iran, en Syrie et en Crime, le blocage s’tend dsormais au Cuba et la Core du Nord
Des pirates ont pill Citrix et emport 6 To de courriels, de documents d’entreprise et de secrets, en exploitant des mots de passe faibles
Des hackers iraniens ont pirat des serveurs VPN pour dissminer des portes drobes sur les rseaux d’entreprise, d’aprs un rapport



Source link

Write a comment:
*

Your email address will not be published.