最近,新加坡国内最大的健康效劳组织-新保集团(SingHealth)遭受网络进犯,导致很多数据走漏。互联网安全公司Trustwave旗下实验室 SpiderLabs 依据其要挟情报来源,对该事情进行了大致的整理剖析。咱们一起来看看。
事情摘要
2018年7月20日,新加坡官方宣称其国内最大的健康效劳组织-新保集团(SingHealth)遭到一场有针对性的严峻网络进犯,导致约150万患者的病历记载走漏,这是新加坡前史上规模空前的最严峻的个人数据走漏事情。
黑客的数据盗取活动最早发生在2018年6月27日,直到2018年7月4日才被卫生部部属的归纳保健信息系统公司( IHiS)数据库管理员发现,痕迹标明,SingHealth的一个IT数据库上存在反常活动。管理人员经过进一步监测,终究发现了这场歹意的网络进犯。
此次数据走漏事情受影响的规模为2015年5月1日至2018年7月4日期间,到新保集团旗下医院和诊所就诊的150多万名病患,这些患者的个人资料现已被黑客盗取,其间包括名字、地址、生日、性别、种族和身份证号码 (NRIC) 等信息,还有16万人的门诊开药记载也在失窃数据规模内。
据报导,黑客的此次网络进犯是故意且经精心策划的,其间有针对性地重复测验获取了新加坡总理李显龙的医疗记载。依据 SpiderLabs 的情报来源,和进犯中运用的战术、技能和程序( TTPs )以及持续的定向进犯方针标明,进犯可能发自于高档别对手,目的在于行使其预订的战术和进犯方针。
在与情报协作伙伴进一步证明或获取查询取证头绪之前,SpiderLabs 能够必定地评价以为,新保集团网络进犯就是一场高档持续性要挟( APT )进犯,评价依据就是进犯中所说到的各项TTPs方针推论。
虽然这是 SpiderLabs 在无法获取查询取证头绪状况下,对此次进犯目的的不彻底评价,但咱们以为,跟着新加坡在2018年接任东南亚国家联盟(ASEAN)主席以来,针对新加坡的网络特务要挟活动将会持续晋级。网络特务安排向来就是以战术和战略情报搜集为目的,针对各国政府为方针。
据媒体报导,开始查询显现,新保集团一台前端工作站首要被歹意软件感染,之后,进犯者运用这个工作站作为跳板在新保集团内网中横向移动,终究拜访获取到了方针数据库。
新加坡政府官方宣称这次网络进犯彻底是”故意的、有针对性的和精心策划的”,进犯者专门重复测验获取了新加坡总理李显龙的个人健康记载和处方药开药记载。在网络进犯期间,整个集团的医疗记载没有发生改动,医疗效劳也未曾中止。这种荫蔽地进犯行为与国家支撑黑客的APT活动相等,进犯者的终究目的可能是完成长时间的行为监控和数据搜集,但其进犯活动的发现搅黄了这一动机。
谁是暗地黑手?
在没有政府情报组织协作伙伴的证明前提下,进行网络进犯的追溯查询往往相对比较困难。但依据SpiderLabs 的情报来源,咱们知晓了进犯者在网络进犯中的详细战术、技能和程序( TTPs )方针,进犯者的进犯技能未曾被广泛运用过,且被一些高档别进犯安排在亚洲某区域屡试不爽。
依据 SpiderLabs 的情报来源显现,新保集团网络进犯的暗地进犯者,运用了开源结合商业性的进犯东西。虽从这点来看,形似标明进犯者不具有高水平的进犯技能,但现实可能与此相反。众所周知,老到的网络进犯者会运用开源东西包来协助他们完成侵略,一起也会保存定制东西包以进行本身荫蔽或踪影掩藏。开源和商业性东西的结合,与某些特定的进犯安排行为特征相似。但只要直接的查询取证数据才干最大程度地判别识别出进犯者身份。
进犯者的目的是什么?
依据 SpiderLabs 的获取情报,结合本次进犯中的受害者方针状况,SpiderLabs 安全剖析专家评价以为,这就是一场网络特务行为,目的在于以支撑战略考量为方针的情报搜集。经过成功的进犯行为,进犯者能够搜集到患者的个人身份信息(PII),便利后期针对方针的垂钓邮件进犯和钓饵创立,也能协助背面支撑组织进行特定情报获取,如评价新加坡总理李显龙的健康状况。
被盗取的新保集团数据在暗网中售卖过吗?
依据 SpiderLabs 在暗网的勘探显现,到发文时,黑客盗取的新保集团数据还未在暗网上有售卖记载,SpiderLabs将持续监测暗网中的相似卖买买卖状况。但假如这次网络进犯是国家支撑的黑客行为,那么这些数据不太可能会在暗网上揭露售卖。
定论和展望
此次网络进犯导致的新保集团数据走漏,算是迄今为止新加坡前史上报导的最严峻的网络事情。进犯行为显现了进犯者对包括很多个人身份信息( PII )的医疗保健部分的巨大爱好,PII具有后续的内涵价值,可用于针对特定方针人物的垂钓邮件进犯和钓饵创立。
SpiderLabs经过必定的评价以为,对新保集团的网络进犯就是特务性质的进犯行为,进犯者的方针是盗取个人信息(PII)和高价值方针(HVT)的医疗病历记载。此次评价彻底依据SpiderLabs的情报来源和数据走漏剖析,这些情报也显现此次网络进犯具有十分高档的杂乱程度。经过进犯,进犯者能够针对特定方针树立社工档案,一起作为战略情报搜集支撑的一部份,能对要害方针的健康状况作出评价,或许运用个人隐私健康记载敲诈受害者,策反他们供给政府秘要数据。
依据 SpiderLabs 的情报来源,咱们有把握以为,新保集团网络进犯中说到的TTPs方针,与亚太区域的个人黑客或网络犯罪团伙无关,咱们坚信此次网络进犯是由国家支撑的情报安排展开的,其目的在于获取新加坡高价值方针(HVTs)相关信息,并便利往后进行深化的情报搜集或勒索行为。更多切当依据,咱们需要与情报组织协作进行查询取证才干彻底承认进犯者的身份和目的。
虽然这是 SpiderLabs 在无法获取切当查询取证头绪的状况下,对此次网络进犯的不彻底评价,但咱们以为,跟着新加坡在2018年接任东南亚国家联盟轮值主席以来,针对新加坡的网络特务活动将会不断晋级。在2018年下半年行将举办的东盟会议到来之际,SpiderLabs 安全剖析专家十分必定地以为,对新加坡的网络特务要挟将会越来越多。SpiderLabs 以为,网络特务进犯者可能会在高档别会议期间对新加坡和其他东盟成员国进行深化的特务活动进犯。
SpiderLabs 将会持续研讨这一事情,并依据不同的情报来源依据,会在后续博客中进行更新。
