研究人員表示伊朗APT組織是Citrix 6TB資料失竊事件的幕後黑手 新聞來源：ThreatPost 資訊安全公司Resecurity表示APT組織IRIDIUM使用的一種專有技術，用來繞過關鍵應用系統的雙重認證。 研究人員將最近發現針對Citrix內部網路的攻擊歸咎於與伊朗有關的APT組織IRIDIUM，並表示此次資料盜竊涉及6TB的敏感性資料。 Resecurity上週五發佈一篇Blog指出去年年底發現了一次有針對性的攻擊和資料外洩，並在12月28日上午10點25分提醒此公司注意這一情況。研究人員也將獲得的情報與執法部門和合作夥伴共用。 Resecurity稱，惡意攻擊者使用專有技術繞過關鍵應用系統和服務的雙重身份驗證，進一步未經授權地訪問VPN和單一登錄(SSO)系統的APT攻擊。”IRIDIUM已經影響200多家政府機構、石油天然氣公司和科技公司，包括Citrix Systems Inc.。” Threatpost研究指出該公司與此次APT攻擊的更多細節，並將更新這篇文章。 Citrix表示這確實是它上周宣佈密碼噴灑(Password Spraying)攻擊相同，但它不願證實Resecurity文章中的其他細節。 Citrix的發言人表示:“正如上週五揭露的，我們已經在協力廠商專家的幫助下對這起事件展開了全面的鑑識，一旦鑑識完成我們將公佈更多細節。”“我們對Resecurity的報告不予置評。” Resecurity指出，這起事件是民主國家支援的複雜網路間諜活動的一部分，是針對政府、軍工企業、能源公司、金融機構和涉及關鍵經濟領域的大型企業的網路間諜活動。 該公司聲稱攻擊者利用Citrix企業網路的大量資料，包括電子郵件通信、網路共用檔和其他用於專案管理和採購的服務。 Cavirin的技術長Praveen Jain告訴Threatpost目前掌握的有限細節表明，Citrix在安全防護方面應該可以做得更好。“由於攻擊向量是針對弱密碼，Citrix可能沒有實施業界最佳實踐流程來保護他們的網路”這些失誤包括人員培訓、流程檢查、適當的密碼保護和技術檢查，以及缺乏適當密碼複雜性的自動檢查。 Vectra安全分析長克裡斯·莫拉萊斯(Chris Morales)告訴Threatpost此次攻擊似乎遵循包括Marriott與Equifax在內的幾乎所有重大入侵事件的相同順序:C&C、偵察、水準擴散、資料洩漏。“攻擊者很可能破壞非關鍵系統(如桌面使用者或印表機)的弱密碼。”目前還不清楚。一旦攻擊者站穩腳跟，他們就會啟用外部遠端存取來下載網路上的工具，並在系統間水準擴散，直到他們獲得了管理層級的訪問權限，接著是發現具有大量資料的伺服器。” 繞過額外的安全保護層通常意味著繞過了防火牆和VPN，使用正常的流量進行遠端通訊和資料過濾，比如HTTPS。 Centrify網路安全專員Torsten George對Threatpost表示認為使用VPN進行安全防護是適當的想法經常被嘲諷，實際上VPN連接打開整個網路區段的訪問權，讓攻擊者可以通過破壞VPN憑證(通常與用戶憑證相同)很容易地進行水平擴張。 回最新消息列表頁