Hackerlar Beş Aydır Citrix'Te

Ağ yazılımı devi Citrix Systems, kötü niyetli bilgisayar korsanlarının 2018-2019 yılları arasında beş ay boyunca ağlarının içinde olduğunu ve şirket çalışanları, yükleniciler, stajyerler, iş adayları ve bakmakla yükümlü oldukları kişiler hakkında kişisel ve finansal veriler sağladığını söylüyor. Açıklama, Citrix'in dijital davetsiz misafirlerin zayıf parolalar için çalışan hesaplarını inceleyerek kırıldığını kabul etmesinden neredeyse bir yıl sonra gerçekleşti.

Citrix, Fortune 100 şirketlerinin çoğu da dahil olmak üzere dünya çapında yüz binlerce müşteri tarafından kullanılan yazılımlar sunmaktadır. En ünlü ürünü, kullanıcılarına şifrelenmiş bir bağlantı üzerinden ağlara ve bilgisayarlara uzaktan erişmesini sağlayan sanal özel ağ (VPN) yazılımıdır.

Mart 2019'da Federal Soruşturma Bürosu (FBI), Citrix'i siber suçluların şirketin iç ağına eriştiğine inanmaları için nedenleri olduğu konusunda uyardı. FBI, Citrix'e, bilgisayar korsanlarının büyük olasılıkla “şifre püskürtme” adı verilen bir teknik kullandıklarını ve yalnızca bir avuç ortak parola kullanarak çok sayıda çalışan hesabına (kullanıcı adları / e-posta adresleri) erişmeye çalışan nispeten kaba ancak son derece etkili bir saldırı kullandıklarını söyledi.

Yayınlanan bir açıklamada, Citrix, bilgisayar korsanlarının “ticari belgelere erişmiş ve indirmiş olabileceğini” ortaya koyduğunu ve neye tam olarak erişildiğini veya çalındığını belirlemeye çalıştığını söyledi.

Ancak, 10 Şubat 2020 tarihli etkilenen kişilere gönderilen bir mektupta Citrix, olayla ilgili ek ayrıntılar açıkladı. Mektuba göre, saldırganlar 13 Ekim 2018 ile 8 Mart 2019 arasında Citrix’in iç ağına “aralıklı erişime sahipti” ve siber korsanlar hala şirketin sistemlerinde kaldığına dair bir kanıt yoktu.

Citrix, davetsiz misafirlerin aldığı bilgilerin Sosyal Güvenlik Numaralarını veya diğer vergi kimlik numaralarını, sürücü belgesi numaralarını, pasaport numaralarını, finansal hesap numaralarını, ödeme kartı numaralarını ve / veya sağlık sigortası katılımcı kimlik numarası gibi sınırlı sağlık talebi bilgilerini ve / veya hizmet tarihi ve sağlayıcı adı ile ilgili bilgileri içerebileceğini söyledi.

Bu mektubu kaç kişinin aldığı belli değil, ancak bilgi kaynağı Citrix'in bir noktada şirkette çalışan veya bir zaman çalışmış, iş veya staj başvurusunda bulunanlarla ve şirket çalışanlarının bir aile üyesinin sağlık hizmeti almış olabilecek kişilerle iletişime geçtiğini gösteriyor..

Citrix’in mektubu, şirketlerin etkilenen tüketicileri kişisel ve finansal verilerini tehlikeye atan herhangi bir olayı neredeyse tüm ABD eyaletlerinde yasal zorunluluk olduğundan haberdar etmesini gerektiyor. Bildirim, saldırganların şirketin yazılımı ve dahili operasyonları hakkında tescilli verileri çalıp çalmadıklarını belirtmese de, davetsiz misafirlerin kesinlikle bu bilgilerin en azından bir kısmına erişmeleri için bolca fırsatı vardı.

Citrix'in Mart 2019'daki müdahaleyi ilk kez açıklamasından kısa bir süre sonra, az bilinen bir güvenlik şirketi Resecurity, İranlı bilgisayar korsanlarının sorumlu olduğunu, yıllarca Citrix'in ağında olduklarını ve terabaytlarca veriyi boşalttıklarını kanıtladığını iddia etti. Resecurity, Citrix'in başlangıçta reddettiği ancak daha sonra kabul ettiği iddiasıyla Citrix'e ihlali 28 Aralık 2018 gibi erken bir zamanda bildirdiğine dair kanıtlar sundu.

İranlı bilgisayar korsanları son zamanlarda büyük şirket ağlarında arka kapı oluşturmak amacıyla dünyanın dört bir yanındaki VPN sunucularını hacklemekle suçlandı. Güvenlik şirketi ClearSky tarafından bu hafta yayınlanan bir rapor, İran'ın devlet destekli bilgisayar korsanları biriminin Citrix ve diğer birçok yazılım firmasının popüler VPN ürünlerindeki güvenlik açıklarından nasıl yararlandığını ayrıntılarıyla anlatıyor.

ClearSky, saldırganların VPN araçlarına saldırmaya odaklandıklarını, çünkü hedeflenen kuruluşlara saldırılara uzun süreli dayanama gücü sağladıkları ve tedarik zinciri saldırıları yoluyla başka şirketlere saldırı düzenlemek için kapısını sık sık açtıklarını söylüyor. Şirket, bu tür taktiklerin İranlı bilgisayar korsanlarının BT, güvenlik, telekomünikasyon, petrol ve gaz, havacılık ve hükümet de dahil olmak üzere çok çeşitli sektörlerdeki şirket ağlarına sürekli erişim sağlamasına izin verdiğini söyledi.

Saldırganların kullanabileceği VPN kusurları arasında, bazı güvenlik topluluklarında “Shitrix” (ingilizce shit bok anlamına geliyor) olarak adlandırılan Citrix VPN sunucularında yakın zamanda yamalı bir güvenlik açığı (CVE-2019-19781) bulunmaktaydı. Alaycı takma ad seçilmiş olmasının sebebine örnek Citrix müşterileri 2019'un Aralık ayının ortalarındaki güvenlik açığı konusunda uyarmasına tağmen, Ocak 2020'nin sonlarına kadar açıkları kapatmak için yamaları yüklemeye başlamamıştı - Neredeyse iki hafta boyunca saldırganlar savunmasız organizasyonlara girebilirdi.

Kuruluşunuz şifre püskürtme saldırısına nasıl dayanır? Citrix saldırısının gösterdiği gibi, kontrol etmeniz gerektiğini bilmiyor ve çıkan sonuca göre hangi adımları almanız gerektiğini bilmiyorsanız, kötü adamlar bilmeseniz bile bir gün öğretecekler.


HABERLER