黑客集團(tuán)背后發(fā)現(xiàn)SingHealth數(shù)據(jù)泄露事件，主要針對(duì)新加坡公司

破壞了150萬(wàn)醫(yī)療保健患者數(shù)據(jù)的黑客已經(jīng)被確定為對(duì)新加坡的幾個(gè)組織發(fā)起攻擊的組織，包括在該國(guó)開展業(yè)務(wù)的跨國(guó)公司，并且可能是針對(duì)其他國(guó)家和地區(qū)的大型運(yùn)營(yíng)的一部分。

破壞了150萬(wàn)名SingHealth病人數(shù)據(jù)的黑客已經(jīng)被確定為對(duì)新加坡的幾家企業(yè)發(fā)起攻擊的團(tuán)體，包括在該州開展業(yè)務(wù)的跨國(guó)公司。根據(jù)賽門鐵克的一份報(bào)告，該組織被稱為Whitefly，已經(jīng)襲擊了醫(yī)療保健，媒體，電信和工程領(lǐng)域的組織，很可能成為針對(duì)其他國(guó)家的大型業(yè)務(wù)的一部分。

該網(wǎng)絡(luò)安全供應(yīng)商表示，它已開始調(diào)查自2018年7月以來(lái)的SingHealth攻擊，并在調(diào)查過程中確定一個(gè)以前不為人知的組織負(fù)責(zé)并且還發(fā)動(dòng)了其他攻擊。該集團(tuán)至少在2017年開始運(yùn)營(yíng)，主要針對(duì)新加坡各個(gè)行業(yè)的組織，主要集中在竊取大量敏感數(shù)據(jù)。

新加坡醫(yī)療保健數(shù)據(jù)泄露的關(guān)鍵要點(diǎn)

沒有任何系統(tǒng)是絕對(duì)可靠的，網(wǎng)絡(luò)安全漏洞是不可避免的，但新加坡需要做得更好，以降低風(fēng)險(xiǎn)并履行其保護(hù)公民數(shù)據(jù)的承諾。

閱讀更多

當(dāng)被問及該集團(tuán)為何關(guān)注新加坡時(shí)，賽門鐵克安全響應(yīng)部門的研究員Dick O'Brien告訴ZDNet，其贊助商可能還有其他團(tuán)隊(duì)針對(duì)其他國(guó)家和地區(qū)，而且Whitefly可能是更廣泛的情報(bào)收集行動(dòng)的一部分。該區(qū)域。通過使用類似的攻擊工具與其他地區(qū)的攻擊相關(guān)聯(lián)，這可能就是這種情況。

O'Brien未能透露受該組織攻擊影響的組織數(shù)量，并補(bǔ)充說該供應(yīng)商的研究仍在進(jìn)行中。

不過，他的確表示，Whitefly使用的攻擊工具也被用來(lái)對(duì)在東南亞和俄羅斯運(yùn)營(yíng)的國(guó)防，電信和能源領(lǐng)域的公司發(fā)起攻擊。然而，Whitefly的參與目前只能在新加坡發(fā)生的襲擊事件中得到證實(shí)。

新加坡政府在1月份透露，它能夠識(shí)別負(fù)責(zé)SingHealth攻擊的黑客，并采取了適當(dāng)?shù)男袆?dòng)，但不會(huì)出于“國(guó)家安全原因”透露這些肇事者的身份，并且“不符合我們的利益”公開歸屬“。

ZDNet向網(wǎng)絡(luò)安全局(CSA)發(fā)出了幾個(gè)問題，這是一個(gè)負(fù)責(zé)監(jiān)督新加坡網(wǎng)絡(luò)安全運(yùn)營(yíng)的政府機(jī)構(gòu)，其中包括Whitefly是否是它在1月份提到的黑客組織，以及政府是否與任何組織合作識(shí)別SingHealth黑客。

創(chuàng)建您的個(gè)性化云學(xué)習(xí)體驗(yàn)。

想知道云如何幫助您的業(yè)務(wù)?加入Google云資源中心，通過訪問專門為您精心策劃的內(nèi)容，釋放云的可能性。從現(xiàn)在開始，在云端取得進(jìn)展。

資源中心由Google Cloud提供

CSA發(fā)言人沒有直接回答這些問題，但回答了這一說法：“網(wǎng)絡(luò)安全公司定期根據(jù)自己的情報(bào)和研究報(bào)告為各利益相關(guān)方提供此類報(bào)告。由于這是商業(yè)實(shí)體的獨(dú)立調(diào)查報(bào)告，我們有沒有評(píng)論其內(nèi)容。“

當(dāng)被問及時(shí)，賽門鐵克證實(shí)已與CSA分享了調(diào)查結(jié)果。

黑客組織旨在堅(jiān)持隱身模式

周三晚些時(shí)候發(fā)布的賽門鐵克報(bào)告顯示，Whitefly使用自定義惡意軟件和開源黑客工具以及惡意PowerShell腳本等陸地策略來(lái)破壞其目標(biāo)。

具體來(lái)說，該組試圖使用一個(gè)惡意“.exe”或“.dll”文件形式的dropper感染其目標(biāo)，該文件偽裝成文檔或圖像，并可能通過魚叉式網(wǎng)絡(luò)釣魚郵件發(fā)送。如果打開，滴管在計(jì)算機(jī)上運(yùn)行稱為Trojan.Vcrodat的加載程序。

O'Brien指出：“Vcrodat使用一種稱為搜索順序劫持的技術(shù)。簡(jiǎn)而言之，這種技術(shù)使用的事實(shí)是，如果沒有提供路徑，Windows將以預(yù)定義的順序在計(jì)算機(jī)上的特定位置搜索DLL。因此，可以為惡意DLL提供與合法DLL相同的名稱，但是將其置于搜索順序中的合法版本之前，以便在Windows搜索時(shí)加載它。

當(dāng)被問及為什么Windows無(wú)法區(qū)分惡意DLL和合法DLL時(shí)，他解釋說，如果沒有提供路徑，Windows只會(huì)執(zhí)行搜索。所以問題在于軟件開發(fā)人員是否指定了DLL路徑。“供應(yīng)商通常會(huì)修補(bǔ)他們的軟件，如果他們找到未指定的路徑，但這可能無(wú)法阻止攻擊者使用該技術(shù)，因?yàn)樗麄兛梢詣h除未修補(bǔ)的版本并使用它來(lái)加載惡意DLL，”他說。

賽門鐵克還指出，Whitefly通常旨在在目標(biāo)網(wǎng)絡(luò)中保持未被發(fā)現(xiàn)，通常持續(xù)數(shù)月，目的是竊取大量數(shù)據(jù)。它將通過部署幾個(gè)工具來(lái)實(shí)現(xiàn)，例如開源黑客工具Termite，這有助于其黑客與受感染計(jì)算機(jī)之間的通信。

O'Brien補(bǔ)充說：“例如，如果他們使用以前看不見的工具，那么在識(shí)別和標(biāo)記這些工具之前可能無(wú)法檢測(cè)到任何入侵。我們還觀察到Whitefly竭盡全力竊取憑據(jù)，例如用戶名和密碼來(lái)自有針對(duì)性的組織，使他們更容易在網(wǎng)絡(luò)上保持長(zhǎng)期存在。“

根據(jù)賽門鐵克的說法，SingHealth漏洞不太可能是一次性攻擊，而是對(duì)該地區(qū)組織的一系列攻擊的一部分。

“Whitefly是一個(gè)非常熟練的團(tuán)隊(duì)，擁有龐大的工具庫(kù)，能夠滲透到目標(biāo)組織并保持其網(wǎng)絡(luò)的長(zhǎng)期存在，”它說。

相關(guān)覆蓋范圍

公司因SingHealth數(shù)據(jù)安全漏洞被罰款100萬(wàn)美元

SingHealth和新加坡的公共醫(yī)療保健行業(yè)IT機(jī)構(gòu)IHIS分別因?yàn)檫`反該國(guó)個(gè)人數(shù)據(jù)保護(hù)法案的2018年7月的網(wǎng)絡(luò)安全攻擊而被罰款250,000新加坡元和750,000新元的罰款。罰款是迄今為止最高的罰款。

SingHealth違規(guī)審查建議應(yīng)該已經(jīng)是基本安全政策的補(bǔ)救措施

審查委員會(huì)還發(fā)現(xiàn)，IT人員缺乏網(wǎng)絡(luò)安全意識(shí)和資源，而且SingHealth的網(wǎng)絡(luò)配置錯(cuò)誤，存在安全漏洞，這有助于黑客成功破壞其系統(tǒng)。

SingHealth數(shù)據(jù)泄露揭示了一些“不充分”的安全措施

對(duì)2018年7月事件的調(diào)查顯示，提醒警報(bào)遲到，使用弱管理密碼，以及一個(gè)未修補(bǔ)的工作站，使黑客最早在去年8月違反了該系統(tǒng)。

對(duì)于將安全視為增值服務(wù)的公司而言，新加坡必須更加強(qiáng)硬

處理客戶數(shù)據(jù)的企業(yè)應(yīng)該采用所有適當(dāng)?shù)木W(wǎng)絡(luò)安全系統(tǒng)和政策來(lái)實(shí)現(xiàn)，而不是將其作為“增值服務(wù)”提供，而新加坡政府則應(yīng)該對(duì)那些未能做到這一點(diǎn)的人負(fù)責(zé)。

新加坡14,200名被診斷為艾滋病病毒的數(shù)據(jù)在網(wǎng)上泄露

一名居住在新加坡的美國(guó)人在網(wǎng)上泄露了屬于14,200名被診斷患有艾滋病毒的人的個(gè)人信息，他們非法訪問了這些數(shù)據(jù)，這顯示了該國(guó)衛(wèi)生部的情況。