文章提供：图文资通组

文章来源：https://www.bnext.com.tw/article/52521/citrix-hacker-iran

科技大厂Citrix遭「密码喷洒」手法攻陷！大量白宫、FBI机密恐被窃

发佈日期：2019/03/11 消息来源：科技新报

作者 蒋曜宇 | 发布日期 2019 年 03 月 11 日

图片来源：Citrix Systems Inc.

美国软体及云端运算科技大厂Citrix遭骇客集团攻击，有超过6TB以上的资讯、信件及机密遭窃取，其中最大的受害者，包括了发包给Citrix进行网路情资专案的白宫、FBI及其他美国军方单位。网路安全公司Resecurity表示，攻击者身份为伊朗骇客集团Iridium，并强调该集团极可能在十年前就已渗透进Citrix，长期潜伏在内部网络里。

・FBI介入调查，骇客以「密码喷洒」手法窃取多个Citrix员工帐户

该消息引发资安界的热烈讨论。Citrix在全球有近400,000家企业客户，服务对象涵盖财星500强中98%的公司。该公司其中一项主要业务为提供政府及企业单位可以远端存取内部网络的相关软体与技术，让员工可用自己的电脑及手机远端工作。

Citrix资安长Stan Black表示，截至目前为止公司还不清楚攻击者已获取了哪些档案、以及他们已在内部网络里潜伏了多久。关于攻击者的身份，Black仅表示其为一跨国网路犯罪组织，并没有透露该组织源自哪一个国家。Black也强调骇客并未获取Citrix客户的相关数据资料。

「密码喷洒」是指骇客用一个强度较弱的密码去配对多个不同员工帐号，进而攻破帐户入侵内部网路。图片来源：Shutterstock

FBI目前已介入调查，他们认为骇客是以一种叫「密码喷洒」（Password Spraying）的方式进行攻击。密码喷洒是指骇客用一个强度较弱的密码去配对多个不同员工帐号，进而攻破帐户入侵内部网路。

・伊朗是幕后黑手？政府的网路服务承包商成资安破口

虽然Citrix和FBI都对攻击者身份有所保留，同样侦查到这波攻击的Resecurity执行长Charles Yoo表示，攻击者是伊朗政府支持的骇客集团Iridium。Yoo说，Iridium是近期针对近200多间美国官方机构、石油大厂与科技公司进行网路攻击的幕后黑手，并强调该集团有多年跨国网路间谍行动的经验，澳洲与英国国会都曾受其所「骇」。

Resecurity长年追踪与伊朗政府有关联的骇客组织，表示其有理由相信Iridium早在十年前就已骇进Citrix，潜伏于其系统内。Yoo也表示，根据他们的网路攻击研究显示，骇客的攻击重点着重于FBI、NASA与航太工程的相关计划，以及美国和沙乌地阿拉伯的国营石油企业Saudi Aramco的合作项目等。

对于Resecurity提供的说法，Citrix发言人不予置评，强调会在得到进一步可靠消息后再提供外界更多资讯。

针对Citrix的攻击事件，美国国土安全局的前任资深官员Suzanne Spaulding表示，政府的网路服务承包商已成了骇客窃取国家机密的重要跳板。他们让骇客可以绕过政府机构强大的网路防护机制，从民间找到破口入侵政府网络。她说，透过这个破口，骇客们有机会对政府防护网的结构进行更多分析，进而提升被攻破的风险。