Citrix, la famosa multinazionale del software che fornisce tecnologie di virtualizzazione desktop e server, di networking e di cloud computing a grandi organizzazioni internazionali tra cui la NASA, l’FBI e la compagnia petrolifera saudita, ha subito una massiccia violazione di dati commerciali e riservati. Gli aggressori, infatti, avrebbero rubato tra 6 e 10 TB di documenti riservati dopo essere riusciti a compromettere il sistema informativo interno.
A quanto riferito da un portavoce della stessa società, l’attacco informatico è stato individuato già la settimana scorsa dall’FBI i cui esperti avrebbero rilevato un’intrusione non autorizzata nella rete interna di Citrix da parte di alcuni criminal hacker iraniani appartenenti probabilmente al gruppo Iridium, famoso per aver già compromesso oltre 200 società in tutto il mondo.
Nonostante l’incidente, comunque, la società ha fatto sapere che i suoi prodotti e i servizi non sono stati compromessi dal punto di vista della sicurezza, anche se ammette di non sapere quanti o quali documenti siano stati consultati: nel comunicato stampa di Citrix si parla solo di “business documents” tra cui e-mail, file, progetti ed altri documenti.
Indice degli argomenti
Citrix: l’analisi del data breach
Dall’analisi di quanto accaduto, si scopre che i criminal hacker avrebbero fatto leva su una combinazione di strumenti, tecniche e procedure che hanno consentito loro di condurre un’intrusione mirata nella rete interna di Citrix.
Secondo gli esperti dell’FBI, gli aggressori hanno utilizzato un attacco di tipo brute force noto come password spraying: questa tecnica, in particolare, mira a compromettere le password deboli e quindi a superare il primo livello di sicurezza del perimetro cyber di un’organizzazione. Una volta entrati nella rete interna, i criminal hacker sono poi riusciti a “rompere” gli altri livelli di sicurezza passando inosservati per parecchi giorni.
In realtà, una prima traccia dell’intrusione nella rete interna di Citrix sarebbe stata individuata già ad inizio del mese di dicembre dello scorso anno, così come risulta da una segnalazione effettuata a Citrix il 28 dicembre da parte della società di sicurezza informatica Resecurity. Addirittura, secondo il presidente di Resecurity, Charles Yoo, ci sarebbero prove che i criminal hacker siano riusciti a violare la rete di Citrix circa 10 anni fa e da allora sono rimasti in attesa.
Citrix, da parte sua, sta già lavorando per dare una risposta concreta all’incidente. “Abbiamo avviato un’indagine forense e dato incarico ad un’importante società di sicurezza informatica per fornirci la necessaria assistenza. Abbiamo anche intrapreso alcune azioni volte a proteggere la nostra rete interna e continueremo a collaborare con l’FBI” dicono dalla società.
Si tratta, ovviamente, di indagini complesse e dinamiche che richiedono tempo per essere condotte correttamente. Nelle indagini sugli incidenti informatici, infatti, i dettagli contano e l’azienda si è impegnata a comunicare tempestivamente eventuali informazioni più dettagliate sull’accaduto.
I consigli degli esperti per scongiurare una violazione di dati
L’aspetto più preoccupante di tutta la faccenda, comunque, che dovrebbe servire da lezione a tutte le aziende che trattano dati riservati, è che la società ha collaborato a più riprese con associazioni ed enti governativi, raccogliendo un’enorme quantità di informazioni di ogni genere. È difficile, quindi, anche solo ipotizzare cosa o quanto è stato trafugato o anche solo consultato dai criminal hacker.
È questa anche l’opinione di Alessio Pennasilico, Information & Cyber Security Advisor presso P4I – Partners4Innovatio: “Il caso è decisamente più allarmante: Citrix è solo una delle vittime, spesso nominate a causa della sua notorietà, ma la banda di cyber criminali iraniana che ha perpetrato l’attacco, Iridium, ha già compromesso più di 200 organizzazioni, tra cui agenzie governative, infrastrutture critiche ed aziende tecnologiche”.
“La tecnica di attacco brute forcing utilizzata in questo caso è un tentativo ampio e strutturato di indovinare password: ciò ha portato a identificare diverse password deboli e semplici da indovinare che hanno fornito un primo accesso alla rete del colosso IT”, continua l’analista, secondo cui “tali accessi non erano per certo in grado di accedere a dati riservati, ma quei primi accessi hanno permesso di ordire un attacco più complesso, fatto di diversi passaggi successivi che hanno portato al furto di una enorme quantità di dati”.
Ecco, quindi, i consigli che Pennasilico fornisce a tutte le aziende: “Questo incidente dimostra una volta di più la necessità di adottare strumenti di autenticazione più difficili da violare (strong authentication, two factor authentication), avere delle buone politiche di password management e di verifica della loro efficacia, nonché di attuare campagne di sensibilizzazione degli utilizzatori, la cosiddetta security awareness, per far comprendere come anche la “banale password dell’e-mail” possa portare ad un grave incidente aziendale, qualora venisse compromessa”.
