美國軟體及雲端運算科技大廠Citrix遭駭客集團攻擊,有超過6TB以上的資訊、信件及機密遭竊取,其中最大的受害者,包括了發包給Citrix進行網路情資專案的白宮、FBI及其他美國軍方單位。網路安全公司Resecurity表示,攻擊者身份為伊朗駭客集團Iridium,並強調該集團極可能在十年前就已滲透進Citrix,長期潛伏在內部網絡裡。
FBI介入調查,駭客以「密碼噴灑」手法竊取多個Citrix員工帳戶
該消息引發資安界的熱烈討論。Citrix在全球有近400,000家企業客戶,服務對象涵蓋財星500強中98%的公司。該公司其中一項主要業務為提供政府及企業單位可以遠端存取內部網絡的相關軟體與技術,讓員工可用自己的電腦及手機遠端工作。
Citrix資安長Stan Black表示,截至目前為止公司還不清楚攻擊者已獲取了哪些檔案、以及他們已在內部網絡裡潛伏了多久。關於攻擊者的身份,Black僅表示其為一跨國網路犯罪組織,並沒有透露該組織源自哪一個國家。Black也強調駭客並未獲取Citrix客戶的相關數據資料。
FBI目前已介入調查,他們認為駭客是以一種叫「密碼噴灑」(Password Spraying)的方式進行攻擊。密碼噴灑是指駭客用一個強度較弱的密碼去配對多個不同員工帳號,進而攻破帳戶入侵內部網路。
伊朗是幕後黑手?政府的網路服務承包商成資安破口
雖然Citrix和FBI都對攻擊者身份有所保留,同樣偵查到這波攻擊的Resecurity執行長Charles Yoo表示,攻擊者是伊朗政府支持的駭客集團Iridium。Yoo說,Iridium是近期針對近200多間美國官方機構、石油大廠與科技公司進行網路攻擊的幕後黑手,並強調該集團有多年跨國網路間諜行動的經驗,澳洲與英國國會都曾受其所「駭」。
Resecurity長年追蹤與伊朗政府有關聯的駭客組織,表示其有理由相信Iridium早在十年前就已駭進Citrix,潛伏於其系統內。Yoo也表示,根據他們的網路攻擊研究顯示,駭客的攻擊重點著重於FBI、NASA與航太工程的相關計劃,以及美國和沙烏地阿拉伯的國營石油企業Saudi Aramco的合作項目等。
對於Resecurity提供的說法,Citrix發言人不予置評,強調會在得到進一步可靠消息後再提供外界更多資訊。
針對Citrix的攻擊事件,美國國土安全局的前任資深官員Suzanne Spaulding表示,政府的網路服務承包商已成了駭客竊取國家機密的重要跳板。他們讓駭客可以繞過政府機構強大的網路防護機制,從民間找到破口入侵政府網絡。她說,透過這個破口,駭客們有機會對政府防護網的結構進行更多分析,進而提升被攻破的風險。
資料來源:NBC News、The Register
