Hacker schoont aangevallen Citrix-servers op

Goed en slecht nieuws voor Citrix-gebruikers: iemand is bezig om ongevraagd aangevallen servers schoon te maken en up te daten en om besmettingen ongedaan te maken. Helaas zijn de motieven waarschijnlijk niet heel nobel. Vermoedelijk gaat het om een crimineel of spion die ook meekijkt in de servers en die niet wil dat anderen zijn territorium binnendringen.

De cyberbeveiliger FireEye heeft de manier van werken ontdekt bij zijn onderzoeken naar de Citrix-problemen. De operatie heeft de naam NOTROBIN gekregen. Als de aanvaller toegang krijgt tot een kwetsbare server, wordt alle schadelijke software verwijderd. Zo worden cryptominers gedeletet, kleine programmaatjes, die stiekem virtueel geld delven zonder dat de eigenaar ervan weet. Tegelijk dicht NOTROBIN het gat in Citrix, waardoor elke poging om daarna nog binnen te dringen, kansloos is. NOTROBIN houdt wel een achterdeur open: wie een geheime zin weet, als een soort wachtwoord, komt toch op de server.

FireEye denkt dat de aanvaller zulke apparaten wil 'verzamelen' om ze later zelf te kunnen gebruiken als wapens in een aanval. "We hebben de aanvaller nog niet zien terugkeren, maar we zijn sceptisch dat dit een Robin Hood is die het internet beschermt", aldus FireEye.