破壞了150萬名SingHealth病人數(shù)據(jù)的黑客已經(jīng)被確定為對新加坡的幾家企業(yè)發(fā)起攻擊的團體，包括在該州開展業(yè)務的跨國公司。根據(jù)賽門鐵克的一份報告，該組織被稱為Whitefly，已經(jīng)襲擊了醫(yī)療保健，媒體，電信和工程領域的組織，很可能成為針對其他國家的大型業(yè)務的一部分。

該網(wǎng)絡安全供應商表示，它已開始調(diào)查自2018年7月以來的SingHealth攻擊，并在調(diào)查過程中確定一個以前不為人知的組織負責并且還發(fā)動了其他攻擊。該集團至少在2017年開始運營，主要針對新加坡各個行業(yè)的組織，主要集中在竊取大量敏感數(shù)據(jù)。

當被問及該集團為何關注新加坡時，賽門鐵克安全響應部門的研究員Dick O'Brien告訴ZDNet，其贊助商可能還有其他團隊針對其他國家和地區(qū)，而且Whitefly可能是更廣泛的情報搜集行動的一部分。該區(qū)域。通過使用類似的攻擊工具與其他地區(qū)的攻擊相關聯(lián)，這可能就是這種情況。

O'Brien未能透露受該組織攻擊影響的組織數(shù)量，并補充說該供應商的研究仍在進行中。

不過，他的確表示，Whitefly使用的攻擊工具也被用來對在東南亞和俄羅斯運營的國防，電信和能源領域的公司發(fā)起攻擊。然而，Whitefly的參與目前只能在新加坡發(fā)生的襲擊事件中得到證實。

新加坡政府在1月份透露，它能夠識別負責SingHealth攻擊的黑客，并采取了適當?shù)男袆?，但不會出?ldquo;國家安全原因”透露這些肇事者的身份，并且“不符合我們的利益”公開歸屬“。

ZDNet向網(wǎng)絡安全局(CSA)發(fā)出了幾個問題，這是一個負責監(jiān)督新加坡網(wǎng)絡安全運營的政府機構，其中包括Whitefly是否是它在1月份提到的黑客組織，以及政府是否與任何組織合作識別SingHealth黑客。

CSA發(fā)言人沒有直接回答這些問題，但回答了這一說法：“網(wǎng)絡安全公司定期根據(jù)自己的情報和研究報告為各利益相關方提供此類報告。由于這是商業(yè)實體的獨立調(diào)查報告，我們有沒有評論其內(nèi)容。“

當被問及時，賽門鐵克證實已與CSA分享了調(diào)查結果。

黑客組織旨在堅持隱身模式

周三晚些時候發(fā)布的賽門鐵克報告顯示，Whitefly使用自定義惡意軟件和開源黑客工具以及惡意PowerShell腳本等陸地策略來破壞其目標。

具體來說，該組試圖使用一個惡意“.exe”或“.dll”文件形式的dropper感染其目標，該文件偽裝成文檔或圖像，并可能通過魚叉式網(wǎng)絡釣魚郵件發(fā)送。如果打開，滴管在計算機上運行稱為Trojan.Vcrodat的加載程序。

O'Brien指出：“Vcrodat使用一種稱為搜索順序劫持的技術。簡而言之，這種技術使用的事實是，如果沒有提供路徑，Windows將以預定義的順序在計算機上的特定位置搜索DLL。因此，可以為惡意DLL提供與合法DLL相同的名稱，但是將其置于搜索順序中的合法版本之前，以便在Windows搜索時加載它。

當被問及為什么Windows無法區(qū)分惡意DLL和合法DLL時，他解釋說，如果沒有提供路徑，Windows只會執(zhí)行搜索。所以問題在于軟件開發(fā)人員是否指定了DLL路徑。“供應商通常會修補他們的軟件，如果他們找到未指定的路徑，但這可能無法阻止攻擊者使用該技術，因為他們可以刪除未修補的版本并使用它來加載惡意DLL，”他說。

賽門鐵克還指出，Whitefly通常旨在在目標網(wǎng)絡中保持未被發(fā)現(xiàn)，通常持續(xù)數(shù)月，目的是竊取大量數(shù)據(jù)。它將通過部署幾個工具來實現(xiàn)，例如開源黑客工具Termite，這有助于其黑客與受感染計算機之間的通信。

O'Brien補充說：“例如，如果他們使用以前看不見的工具，那么在識別和標記這些工具之前可能無法檢測到任何入侵。我們還觀察到Whitefly竭盡全力竊取憑據(jù)，例如用戶名和密碼來自有針對性的組織，使他們更容易在網(wǎng)絡上保持長期存在。“

根據(jù)賽門鐵克的說法，SingHealth漏洞不太可能是一次性攻擊，而是對該地區(qū)組織的一系列攻擊的一部分。

“Whitefly是一個非常熟練的團隊，擁有龐大的工具庫，能夠滲透到目標組織并保持其網(wǎng)絡的長期存在，”它說。