piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Citrixへの不正アクセスについてまとめてみた

Citirixは、自社内のネットワークが不正アクセスを受け、社内資料がダウンロードされた可能性があると発表しました。ここでは関連する情報をまとめます。

公式発表

www.citrix.com

インシデントタイムライン

日時 出来事
2018年10月15日 ResecurityはCitrixへの不正アクセス発生(一部)と推定。※
2018年12月28日 ResecurityがCitrixに対してセキュリティ侵害に関して情報提供。※
2019年3月6日 FBIがCitrixに対しセキュリティ侵害の情報提供。
2019年3月8日 Citrixが社内ネットワークへの不正アクセス被害を発表。
同日 ResecurityがCitrixの不正アクセスに関する情報としてIRIDIUMの関与を指摘。
2019年3月11日 Resecurityが記事を更新し、続報を掲載。
  • ※箇所はResecurityが主張しているもので、Citrixの発表には含まれていない。

Citrixが受けた不正アクセスとその被害

  • FBIから国際的なサイバー犯罪者により社内ネットワークが侵害されたとする情報提供が行われた。
  • Citrixのビジネス文書にアクセスし、ダウンロードされた可能性がある。
  • 実際にダウンロードされた可能性のある文書は特定できていない。
  • Citrix社の製品、及びサービスのセキュリティ侵害の兆候は確認していない。

Citrixは今回の侵害を受け次の対応を取ると説明。

  • フォレンジック調査の開始
  • 大手のサイバーセキュリティ企業への調査支援依頼
  • 社内ネットワーク保護のための措置
  • FBIとの引き続きの協力

Resecurityの調査報告

非公式ではあるが、Resecurityは調査結果としてCitrixで発生したとみられる被害を報告している。
resecurity.com

  • イランとの関与が疑われるグループ「IRIDIUM」が今回の侵害に関わっていると説明。
  • 攻撃はクリスマス期間中に計画、及び組織されていた。
  • 2018年12月、2019年3月の2回にわたって攻撃を受けた。
  • Citrix社内から6TB以上程度のファイルが不正にアクセスされた可能性を指摘。
  • パスワードスプレー攻撃の結果から31,738件の従業員のリストが抽出されたとも指摘。
  • ResecurityはGALのサンプルとCitrix社内に接続したとみられるデスクトップのスクリーンショット4枚を掲載。
  • ResecurityがGALやスクリーンショットをどのように入手したかについては経緯は触れられていない。
  • CitrixはResecurityの報告に対し、現時点でこれ以上のコメントはないと取材に回答。*1


Resecurityが公開したスクリーンショットから読み取れる情報は次の通り。

  • スクリーンショット中では、「deptdata」(\\citrixfs1、または\\citrixfs2)と名前を付けられたネットワークドライブへの接続に成功。
ネットワークドライブ 読み取れる内容
deptdata(citrixfs1) 使用Customer Serviceフォルダ内にBoeingの名称など2014年9月に作成されたフォルダの一覧
Consulting ServicesフォルダにAramcoの名称がつけられたファイルなど複数
deptdata(citrixfs2) WindowsのExplorerの表示から5.93TB中、4.82TBが使用
ドライブ内に保管されているとみられる248個のフォルダの一覧
  • フォルダの一覧は表示されているものの、実際にこの中身までアクセスできたかどうかについては示されていない。
  • Explorer以外はCitrix Workspace、コマンドプロンプト、Google Chromeのプロパティが表示されている。
  • 4枚のうち1枚はCitrix Virtual Apps and Desktopsで接続したとみられるデスクトップ画像。
  • Citrix WorkspaceにはCitrix社のExecutive Assistantの方の名前が記述されていた。

パスワードスプレー攻撃を受けた可能性

  • FBIはCitirxに対し、パスワードスプレーと分類される手口を用いる可能性が高いと説明している。
  • Citrix自身はパスワードスプレー攻撃を受けた事実を3月8日時点で確認していない。
  • ResecurityはパスワードスプレーはMabna Insituteによる初期攻撃でよくみられる手口と説明。
  • FBIはFlash Alert中にてブルートフォース攻撃の一種と説明。手口の説明は次の通り。

www.us-cert.gov

  1. オンライン調査(Google、LinkedInの検索)を行い、最初攻撃対象組織、アカウントを見定め。
  2. 推測しやすいパスワードや一般入手可能なツールを用いてSSO、Webベースのアプリケーションを攻撃。
  3. 侵害に成功した最初のグループを通じてグローバルアドレス一覧(GAL)をダウンロード。これを元にさらに攻撃。
  4. 侵害後にネットワーク内部でファイル転送を用いて大量のデータ抽出を行う。

関与が疑われるIRIDIUMについて

Resecurityは2月末にもIRIDIUMの活動実態についてこれまでの事例(英、豪の議会への攻撃への関与)を取り上げている。
resecurity.com

IRIDIUMは次の手口を用いると説明。

  • VPNチャネル、及びSSOへの不正アクセスを行う。
  • 重要なアプリケーションに対する2要素認証の回避技術を独自に持っている。

さらに今回の調査結果からCitrixを含む次の被害が出ている可能性を説明。

  • 6~10TB程度の機密データが盗まれた可能性がある。
  • 対象は200以上の政府機関、石油・ガス、テクノロジー企業。
  • NBCの取材に対してはFBI、NASA、サウジアラムコ等も攻撃の焦点となっていると回答。

これまでにIRIDIUMによる次の被害を確認したと分析。

  • 2017年英国議会へのサイバー攻撃
  • 2019年オーストラリア議会へのサイバー攻撃

不正アクセスに用いられたIPアドレス

Resecurityが接続元IPとして示したものは以下の通り。

  • イランの接続元IPアドレス
178.131.21.19
5.115.23.11
5.52.14.23
  • プロキシのIPアドレス
23.237.104.90(カナダのVPN)
194.59.251.12(アメリカのVPN)
185.244.214.198(ポーランド)
138.201.142.113(ドイツ)
92.222.252.193(フランス、2018年11月29日)
51.15.240.100(フランス、2018年12月7日、3回)
185.220.70.135(ドイツ、2018年12月7日、5回)

更新履歴

  • 2019年3月12日 PM 新規作成
  • 2019年3月13日 AM 情報を追記