以威胁情报分析视角看新加坡新保集团数据泄露事件

x
用微信扫描二维码
分享至好友和朋友圈

  最近,新加坡国内最大的健康服务机构-新保集团(SingHealth)遭受网络攻击,导致大量数据泄露。互联网安全公司Trustwave旗下实验室 SpiderLabs 根据其威胁情报来源,对该事件进行了大致的梳理分析。我们一起来看看。

   事件摘要

  2018年7月20日,新加坡官方声称其国内最大的健康服务机构-新保集团(SingHealth)遭到一场有针对性的严重网络攻击,导致约150万患者的病历记录泄露,这是新加坡历史上规模空前的最严重的个人数据泄露事件。

  黑客的数据窃取活动最早发生在2018年6月27日,直到2018年7月4日才被卫生部下属的综合保健信息系统公司( IHiS)数据库管理员发现,迹象表明,SingHealth的一个IT数据库上存在异常活动。管理人员通过进一步监测,最终发现了这场恶意的网络攻击。

  此次数据泄露事件受影响的范围为2015年5月1日至2018年7月4日期间,到新保集团旗下医院和诊所就诊的150多万名病患,这些患者的个人资料已经被黑客窃取,其中包括姓名、地址、生日、性别、种族和身份证号码 (NRIC) 等信息,另有16万人的门诊开药记录也在失窃数据范围内。

  据报道,黑客的此次网络攻击是蓄意且经精心策划的,其中有针对性地反复尝试获取了新加坡总理李显龙的医疗记录。根据 SpiderLabs 的情报来源,和攻击中使用的战术、技术和程序( TTPs )以及持续的定向攻击目标表明,攻击可能发自于高级别对手,目的在于行使其预定的战术和攻击目标。

  在与情报合作伙伴进一步证实或获取调查取证线索之前,SpiderLabs 可以肯定地评估认为,新保集团网络攻击就是一场高级持续性威胁( APT )攻击,评估依据就是攻击中所提到的各项TTPs指标推论。

  尽管这是 SpiderLabs 在无法获取调查取证线索情况下,对此次攻击意图的不完全评估,但我们认为,随着新加坡在2018年接任东南亚国家联盟(ASEAN)主席以来,针对新加坡的网络间谍威胁活动将会继续升级。网络间谍组织历来就是以战术和战略情报收集为目的,针对各国政府为目标。

  

背景情况

  据媒体报道,最初调查显示,新保集团一台前端工作站首先被恶意软件感染,之后,攻击者利用这个工作站作为跳板在新保集团内网中横向移动,最终访问获取到了目标数据库。

  新加坡政府官方声称这次网络攻击完全是”蓄意的、有针对性的和精心策划的”,攻击者专门反复尝试获取了新加坡总理李显龙的个人健康记录和处方药开药记录。在网络攻击期间,整个集团的医疗记录没有发生改变,医疗服务也未曾中断。这种隐蔽地攻击行为与国家支持黑客的APT活动相称,攻击者的最终意图可能是实现长期的行为监控和数据收集,但其攻击活动的发现搅黄了这一动机。

  谁是幕后黑手?

  在没有政府情报机构合作伙伴的证实前提下,进行网络攻击的追溯调查往往相对比较困难。但根据SpiderLabs 的情报来源,我们知晓了攻击者在网络攻击中的具体战术、技术和程序( TTPs )指标,攻击者的攻击技术未曾被广泛使用过,且被一些高级别攻击组织在亚洲某地区屡试不爽。

  根据 SpiderLabs 的情报来源显示,新保集团网络攻击的幕后攻击者,使用了开源结合商业性的攻击工具。虽从这点来看,貌似表明攻击者不具备高水平的攻击技术,但事实可能与此相反。众所周知,老练的网络攻击者会使用开源工具包来帮助他们实现入侵,同时也会保留定制工具包以进行自身隐蔽或踪迹掩藏。开源和商业性工具的结合,与某些特定的攻击组织行为特征相似。但只有直接的调查取证数据才能最大程度地判断识别出攻击者身份。

  攻击者的意图是什么?

  根据 SpiderLabs 的获取情报,结合本次攻击中的受害者目标情况,SpiderLabs 安全分析专家评估认为,这就是一场网络间谍行为,目的在于以支持战略考量为目标的情报收集。通过成功的攻击行为,攻击者可以收集到患者的个人身份信息(PII),方便后期针对目标的钓鱼邮件攻击和诱饵创建,也能帮助背后支持机构进行特定情报获取,如评估新加坡总理李显龙的健康状况。

  

   被窃取的新保集团数据在暗网中售卖过吗?

  根据 SpiderLabs 在暗网的探测显示,截至发文时,黑客窃取的新保集团数据还未在暗网上有售卖记录,SpiderLabs将继续监测暗网中的类似卖买交易情况。但如果这次网络攻击是国家支持的黑客行为,那么这些数据不太可能会在暗网上公开售卖。

  结论和展望

  此次网络攻击导致的新保集团数据泄露,算是迄今为止新加坡历史上报道的最严重的网络事件。攻击行为显示了攻击者对包含大量个人身份信息( PII )的医疗保健部门的巨大兴趣,PII具有后续的内在价值,可用于针对特定目标人物的钓鱼邮件攻击和诱饵创建。

  SpiderLabs经过肯定的评估认为,对新保集团的网络攻击就是间谍性质的攻击行为,攻击者的目标是窃取个人信息(PII)和高价值目标(HVT)的医疗病历记录。此次评估完全基于SpiderLabs的情报来源和数据泄露分析,这些情报也显示此次网络攻击具备非常高级的复杂程度。通过攻击,攻击者可以针对特定目标建立社工档案,同时作为战略情报收集支持的一部份,能对关键目标的健康状况作出评估,或者利用个人隐私健康记录敲诈受害者,策反他们提供政府机密数据。

  根据 SpiderLabs 的情报来源,我们有把握认为,新保集团网络攻击中提到的TTPs指标,与亚太地区的个人黑客或网络犯罪团伙无关,我们确信此次网络攻击是由国家支持的情报组织开展的,其目的在于获取新加坡高价值目标(HVTs)相关信息,并方便今后进行深入的情报收集或勒索行为。更多确切证据,我们需要与情报机构合作进行调查取证才能完全确认攻击者的身份和意图。

  尽管这是 SpiderLabs 在无法获取确切调查取证线索的情况下,对此次网络攻击的不完全评估,但我们认为,随着新加坡在2018年接任东南亚国家联盟轮值主席以来,针对新加坡的网络间谍活动将会不断升级。在2018年下半年即将举行的东盟会议到来之际,SpiderLabs 安全分析专家非常肯定地认为,对新加坡的网络间谍威胁将会越来越多。SpiderLabs 认为,网络间谍攻击者可能会在高级别会议期间对新加坡和其他东盟成员国进行深入的间谍活动攻击。

  SpiderLabs 将会继续研究这一事件,并根据不同的情报来源证据,会在后续博客中进行更新。

  *参考来源:spiderlabs ,clouds 编译,转载请注明来自 FreeBuf.COM

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 0 参与 0
© 1997-2019 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

FreeBuf

互联网安全新媒体

头像

FreeBuf

互联网安全新媒体

5477

篇文章

14153

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码