По словам представителя американского кибер-представителя, критический недостаток в программном обеспечении Citrix Systems Inc., компании, которая впервые внедрила удаленный доступ, позволяющий людям работать где угодно, был использован поддерживаемыми правительством хакерами и преступными группировками.
По сообщениям Citrix в Интернете и исследователям кибербезопасности, хакеры тайно использовали уязвимость, получившую название Citrix Bleed, в течение нескольких недель, прежде чем она была обнаружена, а исправление было выпущено в прошлом месяце. С тех пор, по словам исследователей, хакеры ускорили использование ошибки, нацеливаясь на некоторые из тысяч клиентов, которые не применили исправление.
«Мы знаем, что широкий спектр злоумышленников, включая как национальные государства, так и преступные группировки , сосредоточены на использовании уязвимости Citrix Bleed», — Эрик Гольдштейн, исполнительный помощник директора по кибербезопасности в Агентстве кибербезопасности и безопасности инфраструктуры США, известном как CISA. Об этом сообщило агентство Bloomberg News.
CISA оказывает помощь жертвам, сказал Гольдштейн, который отказался назвать их личности. По его словам , злоумышленники могут использовать эту уязвимость для кражи конфиденциальной информации и попытки получить более широкий доступ к сети.
Citrix не ответила на сообщения с просьбой прокомментировать ситуацию.
По данным глобального консорциума банковской безопасности FS-ISAC, который во вторник выпустил бюллетень по безопасности о рисках для финансовых учреждений, среди преступных группировок, эксплуатирующих ошибку Citrix Bleed, находится одна из самых известных в мире хакерских группировок LockBit.
По словам человека, знакомого с ситуацией, Министерство финансов США также заявило, что расследует, являются ли уязвимости Citrix причиной недавнего изнурительного взлома с целью получения выкупа против Industrial & Commercial Bank of China Ltd. В результате нарушения крупнейший в мире банк не смог провести часть сделок с казначейскими облигациями США. ICBC не ответил на запрос о комментариях.
LockBit взяла на себя ответственность за взлом ICBC, а представитель банды заявил, что банк заплатил выкуп, хотя Bloomberg не смог независимо подтвердить это утверждение. Ранее газета Wall Street Journal сообщила о ноте казначейства США.
Citrix объявила, что обнаружила ошибку Citrix Bleed 10 октября и выпустила исправление. В компании заявили, что на тот момент не было никаких признаков того, что кто-то воспользовался этой уязвимостью.
Однако с тех пор несколько клиентов Citrix обнаружили, что их взломали еще до выпуска патча, согласно сообщению Citrix и исследователям кибербезопасности. Одной из первых жертв стало европейское правительство, по словам человека, знакомого с ситуацией, который отказался назвать страну.
По данным CISA, ошибка Citrix Bleed может позволить хакеру получить контроль над системой жертвы. По данным Unit 42, исследовательского подразделения компании Palo Alto Networks Inc., занимающейся кибербезопасностью, уязвимость получила свое прозвище, поскольку она может привести к утечке конфиденциальной информации из памяти устройства. Утечка данных может включать в себя «токены сеанса», которые могут идентифицировать и аутентифицировать посетителя определенный веб-сайт или сервис без ввода пароля.
Фирма по кибербезопасности Mandiant начала изучать уязвимость после того, как Citrix отметила ее, и в конечном итоге обнаружила несколько жертв, существовавших до того, как ошибка была обнародована или была исправлена, начиная с конца августа.
Чарльз Кармакал, технический директор консалтингового подразделения Mandiant, сообщил Bloomberg, что эти первоначальные атаки не имели финансовой мотивации. По его словам, Мандиант все еще оценивает, были ли эти первые вторжения осуществлены в шпионских целях национальным государством, возможно, Китаем.
На просьбу прокомментировать ситуацию посольство Китая в Вашингтоне не прокомментировало уязвимость Citrix, а вместо этого сослалось на комментарии Министерства иностранных дел от 10 ноября. «ICBC внимательно следит за этим и принял эффективные меры реагирования на чрезвычайные ситуации, а также обеспечил надлежащий надзор и связь, чтобы минимизировать риск, воздействие и ущерб», — заявили в министерстве.
23 октября компания Citrix обновила свои рекомендации, рекомендуя не только устанавливать исправления, но и «уничтожать все активные и постоянные сеансы».
Тысячи компаний не смогли обновить свое программное обеспечение Citrix и предпринять другие действия, которые настоятельно рекомендовали компания, CISA и другие. Команда Unit 42 из Пало-Альто, которая также наблюдала, как группы-вымогатели использовали эту ошибку, сообщила в блоге от 1 ноября, что по меньшей мере 6000 IP-адресов оказались уязвимыми и что наибольшее количество этих устройств расположено в США, а также другие в США. Германия, Китай и Великобритания.
GreyNoise, компания, которая анализирует сканирование по IP-адресам, сообщила, что с момента начала отслеживания 17 октября она заметила 335 уникальных IP-адресов, пытавшихся использовать эксплойт Citrix Bleed.
LockBit — это одновременно название банды и тип программы-вымогателя, которую она производила. ФБР заявляет, что с 2020 года оно несет ответственность за более чем 1700 нападений на США.
Исследователь безопасности Кевин Бомонт заявил, что использование LockBit уязвимости Citrix распространяется на множество жертв. Юридическая фирма Allen & Overy была взломана через уязвимость Citrix, сказал он в сообщении на Medium, а авиационный гигант Boeing Co. и портовый оператор DP World Plc удалили исправления на устройствах Citrix, что позволило хакерам потенциально использовать эту ошибку.
Бомонт охарактеризовал эту уязвимость как «невероятно простую в использовании» и добавил: «Реальность кибербезопасности, в которой мы сейчас живем, заключается в том, что подростки бегают в бандах организованной преступности с цифровыми базуками».
Представители Allen & Overy, DP World и Boeing не уточнили, использовалась ли ошибка Citrix. По словам представителя, инцидент в Allen & Overy затронул небольшое количество серверов хранения, но основные системы не пострадали. По словам представителя, нарушение, затронувшее детали и систему распределения Boeing, все еще расследуется.
Представитель DP World заявил, что компания ограничена в деталях, которые может предоставить, из-за продолжающегося характера расследования. Бомонт не ответил на просьбу о комментариях.
Теги: хакеры