Sexta-feira passada as ações da Citrix caíram: a empresa admitiu num blog assinado por Stan Black, o CISO da Citrix, que sua rede foi invadida. Pior: ninguém lá dentro sabia e o fato só foi descoberto porque a houve um aviso enviado pelo FBI no dia 6, quarta-feira da semana passada.
Segundo análise independente da empresa de segurança Resecurity, “os agentes de ameaças alavancaram uma combinação de ferramentas, técnicas e procedimentos (TTPs) permitindo que conduzissem uma invasão de rede direcionada para acessar pelo menos 6 terabytes de dados confidenciais armazenados na rede corporativa da Citrix, incluindo correspondência por e-mail, arquivos em compartilhamentos de rede e outros serviços usados para gerenciamento e aquisição de projetos”.
O problema vai piorar porque a Resecurity alega ter avisado a Citrix em 28 de Dezembro passado, informando que o ataque foi feito por um grupo ligado ao Irã conhecido como Iridium, que já atacou mais de 200 agências governamentais, empresas de petróleo e gás e empresas de tecnologia”. A Resecurity compartilhou a informação com parceiros e forças da lei para mitigação. Na sexta-feira 28 de dezembro de 2018 às 10h25, ela entrou em contato com a Citrix e compartilhou uma notificação de alerta antecipado sobre um ataque direcionado e violação de dados. Com base no timing e em outras dinâmicas, a Resecurity acha que o ataque foi planejado e organizado durante o período de Natal.
O blog de Stan Black começa dizendo “Em 6 de março de 2019, o FBI entrou em contato com a Citrix para avisar que eles tinham motivos para acreditar que criminosos cibernéticos internacionais tivessem acesso à rede interna da Citrix”. Podia ser uma vergonha para uma empresa desse tipo (faturamento peerto de US$ 4 bilhões ano e 8 mil funcionários) mas acho que não é mais, de tantos vazamentos já ocorridos. Penso que o CEO simplesmente convocou Stan Black e disse “põe a cara lá e conta o que aconteceu”.
Segundo o CISO da empresa, “parece que os hackers podem ter acessado e baixado documentos comerciais. Os documentos específicos que podem ter sido acessados, no entanto, são atualmente desconhecidos. No momento, não há indicação de que a segurança de qualquer produto ou serviço da Citrix foi comprometida. Embora não tenha sido confirmado, o FBI avisou que os hackers provavelmente usaram uma tática conhecida como password spray, uma técnica que explora senhas fracas. Depois de ganharem acesso limitado, trabalharam para contornar camadas adicionais de segurança”.