Citrix erfolgreich gehackt, vielleicht sogar seit Jahren

Citrix bestätigt den Hack und die Methode. Eine Security-Firma will noch viel mehr wissen.
 
Das interne Netzwerk von Citrix wurde gehackt. Dies bestätigt der Virtualisierungs- und Softwareanbieter in einem Blog-Post. Aus der Mitteilung geht hervor, dass das Eindringen nicht von Citrix selbst bemerkt wurde, sondern vom FBI gemeldet wurde.
 
Es handle sich um internationale Kriminelle, welche Zugriff auf Business-Dokumente erhalten haben könnten und diese herunterluden. "Die spezifischen Dokumente, auf die möglicherweise zugegriffen wurde, sind jedoch derzeit nicht bekannt. Derzeit gibt es keine Hinweise darauf, dass die Sicherheit eines Citrix-Produkts oder -Dienstes beeinträchtigt wurde", beeilte sich Citrix mitzuteilen.
 
Da Citrix mehr als 400'000 Kunden weltweit zählt, darunter das Weisse Haus, das FBI, Regierungen und eine sehr grosse Anzahl bedeutender Firmen, ist fast jeder Aspekt des Hacks potentiell relevant und bedrohlich.
 
Citrix liess nicht mehr verlauten, ausser, dass wohl schwache Passwörter als Eingangstor genutzt wurden: "Obwohl nicht bestätigt, gab das FBI an, dass die Hacker wahrscheinlich eine Taktik nutzten, die als Passwort Spray bekannt ist".
 
Falls sich dies bestätigt, wäre es allerdings kein Ruhmesblatt für die Citrix-Security. Bei Password-Spray-Angriffen sammeln Hacker via Social Engineering oder anderen Phishing-Methoden Benutzer-IDs. Dann testen sie einfache oder wahrscheinliche Passwörter ("admin", "12345" …). Schaffen die Hacker den Zugriff auf einen Account, so sind die Chancen intakt, von dort aus weiter ins Netzwerk einzudringen. Üblicherweise wird deshalb begrenzt, wieviele Mal ein User versuchen darf, sich einzuloggen. Ob bei Citrix drei, zehn oder unbegrenzt viele Login-Versuche ohne Blockierung möglich waren, ist unbekannt.
 
Zur Situation in der Schweiz und von Schweizer Kunden kann kann Citrix keine Stellung nehmen. Das Unternehmen verweist auf Anfrage auf den Blog-Post. Citrix hat die Schweizer Kunden per E-Mail über den Hack informiert.
 
Dort steht kurz: "Citrix hat Massnahmen ergriffen, um diesen Vorfall einzudämmen. Wir haben eine forensische Untersuchung eingeleitet; wir haben eine führende Cyber-Security-Firma mit der Unterstützung beauftragt; Massnahmen zur Sicherung unseres internen Netzwerks ergriffen; wir arbeiten weiterhin mit dem FBI zusammen."
 
Weitere Angaben zu den Hackern und wie lange sie im internen Citrix-Netzwerk operierten, gab das Unternehmen keine bekannt. Das Statement sagt auch nicht, ob die Hacker sich in mehrere Citrix-Accounts einloggen konnten. Man werde informieren, sobald glaubwürdige und umsetzbare Massnahmen habe.
 
"Mindestens sechs Terabyte, vor zehn Jahren gehackt"
Die US-Security-Firma Resecurity will Genaueres wissen: Sie sei überzeugt, dass die vom Iran unterstützte Iridium-Hacker-Gruppe im Dezember 2018 und am 4. März 2019 Citrix erfolgreich angegriffen und mindestens sechs Terabyte an sensiblen internen Dateien gestohlen habe. Darunter seien E-Mails, diverse im internen Netzwerk gesharte Files sowie Dokumente, die im Projektmanagement und der Beschaffung verwendet werden. Die Firma gibt an, sie habe Citrix am 28. Dezember über einen Breach durch Iridium informiert.
 
Auf 'NBC' sagte der Resecurity-Präsident, Charles Yoo, es seien mehrere Citrix-Accounts kompromittiert worden. "Es handelt sich also um ein ziemlich tiefes Eindringen, bei dem mehrere Angestellte kompromittiert wurden und aus der Ferne auf interne Ressourcen zugegriffen wird."
 
Yoo sagte zudem, seine Firma verfolge seit Jahren Iridium. Er habe Grund zu der Annahme, dass die Hackergruppe vor etwa zehn Jahren in das interne Netzwerk von Citrix eingedrungen ist und seitdem darin lauere. "Die Kompromittierung eines Accounts ist nur die erste Stufe des Eindringens. Was wir hier aufgedeckt haben, ist aber ein höchst raffiniertes Vorgehen."
 
Ob die Hacker wirklich dem Iran nahestehen oder anderen staatlichen Gruppen, ist unklar. Citrix und das FBI kommentierten Medienanfragen bislang nicht. Somit bleibt offen: Was wurde exakt über welchen Zeitraum hinweg gestohlen? Und was sollen oder können Citrix-Kunden nun tun? (mag)