Hacker infiltrierten Citrix für fünf Monate

Hacker haben Computersysteme und Netzwerke der Firma Citrix infiltriert und konnten dort unbemerkt für fünf Monate ein- und ausspazieren. Es ist nicht ausgeschlossen, dass dabei sensitive Daten von Mitarbeitern gestohlen wurden.


Anzeige

Citrix Systems musste jetzt zugeben, dass böswillige Hacker zwischen 2018 und 2019 fünf Monate lang in seinen Netzwerken unterwegs waren, wie Brian Krebs in diesem Artikel auf Krebs on Security berichtet. Die Hacker konnten persönliche und finanzielle Daten von Firmenmitarbeitern, Auftragnehmern, Praktikanten, Stellenbewerbern und deren Angehörigen abgreifen.

Die Enthüllung erfolgt fast ein Jahr, nachdem Citrix zugegeben hat, dass es Hackern gelungen war, die Konten von Citrix-Mitarbeitern zu knacken, indem sie die Zugänge der Mitarbeiter auf schwache Passwörter untersuchen. In einer Stellungnahme vom März 2019 heißt es dazu:

On March 6, 2019, the FBI contacted Citrix to advise they had reason to believe that international cyber criminals gained access to the internal Citrix network.

Citrix has taken action to contain this incident. We commenced a forensic investigation; engaged a leading cyber security firm to assist; took actions to secure our internal network; and continue to cooperate with the FBI.

Citrix is moving as quickly as possible, with the understanding that these investigations are complex, dynamic and require time to conduct properly. In investigations of cyber incidents, the details matter, and we are committed to communicating appropriately when we have what we believe is credible and actionable information.

While our investigation is ongoing, based on what we know to date, it appears that the hackers may have accessed and downloaded business documents. The specific documents that may have been accessed, however, are currently unknown. At this time, there is no indication that the security of any Citrix product or service was compromised.

While not confirmed, the FBI has advised that the hackers likely used a tactic known as password spraying, a technique that exploits weak passwords. Once they gained a foothold with limited access, they worked to circumvent additional layers of security.

Citrix deeply regrets the impact this incident may have on affected customers. Citrix is committed to updating customers with more information as the investigation proceeds, and to continuing to work with the relevant law enforcement authorities.

Citrix wurde als vom FBI kontaktiert, das es Grund zu der Annahme hatte, dass internationale Cyberkriminelle Zugang zum internen Citrix-Netzwerk hatten. Ich hatte über diesen Vorfall im Blog-Beitrag Hacks und Leaks der Woche berichtet. Damals untersuchte man noch.

In einem Brief vom 10. Februar 2020 an die Betroffenen gab Citrix jedoch weitere Einzelheiten zu dem Vorfall bekannt. Dem Brief zufolge hatten die Angreifer zwischen dem 13. Oktober 2018 und dem 8. März 2019 "zeitweilig Zugang" zum internen Netzwerk von Citrix. Es gibt keine Hinweise darauf, dass die Hacker weiterhin in den Systemen des Unternehmens unterwegs sind.


Anzeige

Citrix sagte, dass die Informationen, die von den Eindringlingen abgegriffen wurden, Sozialversicherungsnummern oder andere Steueridentifikationsnummern, Führerscheinnummern, Passnummern, Finanzkontonummern, Zahlungskartennummern und/oder Informationen über begrenzte Gesundheitsansprüche, wie z.B. die Identifikationsnummer des Krankenversicherungsteilnehmers und/oder Informationen über Ansprüche, die sich auf das Datum der Dienstleistung und den Namen des Anbieters beziehen, enthalten haben könnten.

Krebs schreibt, es sei unklar, wie viele Personen dieses Schreiben erhalten haben. Er vermutet, dass Citrix ein breites Spektrum von Personen kontaktiert, die irgendwann für das Unternehmen arbeiten oder gearbeitet haben, sowie diejenigen, die sich dort um Stellen oder Praktika beworben haben, und Personen, die möglicherweise Gesundheits- oder andere Leistungen von dem Unternehmen erhalten haben, weil ein Familienmitglied bei dem Unternehmen angestellt ist.

Laut Krebs gibt ein Sicherheitsunternehmen an, dass es Beweise dafür habe, dass der Hack von Iran ausgegangen sei. Weitere Details lassen sich hier nachlesen.

Citrix Software wird von Hunderttausenden Kunden weltweit genutzt. Das Unternehmen ist vielleicht am besten bekannt für den Verkauf von Virtual Private Networking (VPN)-Software, mit der Benutzer über eine verschlüsselte Verbindung aus der Ferne auf Netzwerke und Computer zugreifen können.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Hacker infiltrierten Citrix für fünf Monate

  1. DerEine sagt:

    "Er vermutet, dass Citrix ein breites Spektrum von Personen kontaktiert, die irgendwann für das Unternehmen arbeiten oder gearbeitet haben…"

    Sie scheinen alle ehemaligen Mitarbeiter anzuschreiben.
    Ein guter Freund hat bis vor ~8 Jahren dort gearbeitet und hat ein Schreiben erhalten.

    • oli sagt:

      Bei sowas frag ich mich immer, warum Citrix überhaupt noch Daten von ehemaligen Mitarbeitern speichert (bei nem EU-Unternehmen würde das gegen die DSGVO verstoßen). Dass er ein Schreiben erhalten habe, zeigt ja, dass Citrix zumindest noch Name und Adresse von ihm wusste.

  2. 1ST1 sagt:

    "ist vielleicht am besten bekannt für den Verkauf von Virtual Private Networking (VPN)-Software"

    Mein lieber Herr Born, das traditionelle Geschäft von Citrix sind Terminalserver (das fing mal mit Citrix "Winframe", einem aufgebohrten NT 3.51 oder NT4 Windows Server an und war dann ein Aufsatz für den Windows 2000 Terminalserver ("Metaframe"). Und virtuelle Desktops gehören da seit Jahren auch dazu, all das ist der Bereich, der heute als "XenApp" bekannt ist. Das ist Citrix sein Kernprodukt. Der vielen Nutzern solcher Infrastrukturen bekannte Frontend für XenApp ist der "Citrix Reciever" wie er früher genannt wurde, heute "Citrix Workspace". Das verwendete Protokoll ist "ICA" und funktioniert so ähnlich wie RDP, nur dass es sicherer ist und mehr kann. "VPN" ist ein Teilbereich dessen, was die in letzter Zeit durch ihre Unsicherheit bekannt gewordenen "Netscaler" so können. Auch der Reciever/Workspace kann dazu benutzt werden, über den Netscaler eine Terminalserver-Verbindung aufzubauen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.