Citrix fue atacado por un grupo ciberterrorista Iraní

El grupo vinculado a Irán conocido como IRIDIUM ha afectado a más de 200 agencias gubernamentales, compañías de petróleo y gas y compañías de tecnología, incluyendo Citrix Systems, Inc.

Citrix tuvo una notificación de alerta temprana sobre un ataque dirigido y una violación de datos.

Basado en el tiempo y en la dinámica adicional, el ataque fue planeado y organizado específicamente durante el período de Navidad.

El incidente ha sido identificado como parte de una campaña sofisticada de ciberespionaje apoyada por Irán como parte de una campaña de fuertes ataques contra el gobierno, el complejo militar-industrial, las compañías de energía, las instituciones financieras y las grandes empresas involucradas en áreas críticas de la economía occidental.

Basados ​​en los análisis reciente, los actores de amenazas aprovecharon una combinación de herramientas, técnicas y procedimientos (TTP) que les permiten llevar a cabo una intrusión en la red para acceder al menos a 6 terabytes de datos confidenciales almacenados en la red empresarial de Citrix, incluida la correspondencia por correo electrónico.

Archivos en recursos compartidos de red y otros servicios utilizados para la gestión de proyectos y adquisiciones.

El arsenal de IRIDIUM incluye técnicas patentadas que permiten eludir la autorización 2FA para aplicaciones y servicios críticos para un acceso no autorizado adicional a canales VPN (redes privadas virtuales) y SSO (inicio de sesión único).

Prevemos un crecimiento continuo de ataques cibernéticos dirigidos contra cadenas de suministro del gobierno y grandes empresas organizadas por actores estatales y grupos sofisticados de ciberespionaje.

Actualizado (4:49 PM del lunes 11 de marzo de 2019 PDT)

A continuación se muestran los indicadores de actividad de IRIDIUM disponibles para divulgación.

IP de origen:

178.131.21 []. 19 [] (Irán) 
5.115.23 []. 11 [] (Irán) 
5.52.14 []. 23 [] (Irán)

Proxies utilizados:

23.237.104.90 – Canadá (VPN) 
194.59.251.12 – EE. UU. (VPN) 
185.244.214.198 – Polonia 
138.201.142.113 – Alemania 
92.222.252.193 – Francia (29 de noviembre de 2018) 
51.15.240.100 – Francia (7 de diciembre de 2018) x 3 veces 
185.220.70.135 – Alemania (7 de diciembre de 2018) x 5 veces

Actualizado (5:09 PM del lunes 11 de marzo de 2019 PDT)

La Lista de acceso global (GAL) adquirida como resultado de la aplicación de contraseña (en las cuentas de los empleados de Citrix), que es un tipo de ataque para forzamiento de datos y relleno de credenciales, incluye 31,738 registros .

Los actores de la amenaza lo aprovecharon para un mayor reconocimiento y compromiso de cuentas. Basado en el análisis, una de estas acciones elevadas se llevó a cabo el lunes 15 de octubre de 2018 a la 1:57 AM .

Citrix fue atacado por un grupo ciberterrorista Iraní 1

La fumigación con contraseña fue una de las técnicas más utilizadas por los piratas informáticos del Instituto Mabna y sus asociados durante la etapa temprana de los ataques para lograr una posición en el entorno de la víctima.

  • Aprovechando el grupo inicial de cuentas comprometidas, descargaron la lista global de direcciones (GAL) de un cliente de correo electrónico de destino y realice un reparto de contraseñas mayor contra cuentas legítimas.
  • Al usar el acceso comprometido, los actores malintencionados intentan expandirse lateralmente dentro de la red, y realizan una exfiltración masiva de datos.


Actualizado (8:55 PM del lunes 11 de marzo de 2019 PDT)

Como resultado, los actores de amenazas llevaron a cabo intrusiones en la red para acceder a los datos en la infraestructura de Citrix de forma remota.

Citrix fue atacado por un grupo ciberterrorista Iraní 2
Citrix fue atacado por un grupo ciberterrorista Iraní 3