• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:325

資安廠商 Resecurity 發表報告指出，該單位發現一個名為「銥」（Iridium）的伊朗駭侵團體，入侵了多個美國政府單位、承包商、瓦斯與石油公司，甚至包括企業雲端服務大廠  Citrix。

據報告指出，Citrix 是在去年耶誕假期間遭到 Iridium 駭入；除了這份報告外，FBI 也在今年三月六日前往 Citrix 進行相關調查。

據媒體報導，Citrix 共有多達 6TB 的文件資料，可能遭到駭客竊取；至於這些文件含有哪些機密內容，目前仍在調查中。 

由於 Citrix 提供許多美國政府單位和中大型企業的雲端服務，也包括遠端存取在內，所以這起駭侵事件中外流的機密資料可能牽連甚廣。

攻擊手法：

Iridium 駭客組織是使用一種稱為「密碼噴灑攻擊」（Password spraying attack）的方式入侵 Citrix；這種方式是利用一些簡單的「萬用密碼」大量嘗試登入同一組織中的許多帳號，可以避免追蹤。

參考連結：

https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/
https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/
https://doubleoctopus.com/security-wiki/threats-and-tools/password-spaying/