因外包人員失誤:這家保險巨頭內網淪陷、發生嚴重數據泄露事件
責編:gltian |2024-06-21 14:57:17澳大利亞信息專員辦公室(OAIC)日前發布了一份措辭嚴厲的調查報告,詳細說明了黑客如何憑借配置錯誤和未處理的警報突破Medibank公司的安全防線,并竊取超過900萬人的數據。
2022年10月,澳大利亞健康保險提供商Medibank披露其遭遇了一次網絡攻擊,導致公司運營中斷。一周后,公司確認攻擊者竊取了其所有客戶的個人數據和大量健康索賠數據,970萬人的數據被泄露。
此次攻擊所涉數據后來被一個名為BlogXX的勒索軟件團伙泄露,據信該團伙是已被關閉的REvil勒索軟件團伙的分支機構。此次攻擊最終被追溯到一名俄羅斯人Aleksandr Gennadievich Ermakov,他已被澳大利亞、英國和美國制裁。
澳大利亞官方調查結果
根據OAIC發布的報告,該機構通過調查確定,重大運營失誤導致黑客突破了Medibank的網絡。
OAIC新聞稿稱:“澳大利亞信息專員指控,從2021年3月至2022年10月,Medibank未能采取合理措施保護客戶個人信息免遭濫用、未經授權的訪問或披露,違反了1988年《隱私法》,嚴重侵犯了970萬澳大利亞人的隱私。”
根據報告,一切始于一名Medibank的承包商(IT服務臺操作員),他在工作電腦上使用個人瀏覽器配置文件,并將其Medibank憑據保存在瀏覽器中。這些憑據隨后同步到他的家用電腦,而這臺電腦感染了信息竊取惡意軟件。威脅行為者得以竊取其瀏覽器中保存的所有密碼。2022年8月7日,威脅行為者利用這些憑據,獲得了對Medibank標準賬戶和高級訪問(管理員)賬戶的訪問權限。
OAIC報告稱:“在相關期間,管理員賬戶可以訪問Medibank的大部分(即便不是全部)系統,包括網絡驅動器、管理控制臺和遠程桌面訪問跳轉服務器(用于訪問Medibank某些目錄和數據庫)。”
尚不清楚Medibank漏洞攻擊者是從在線暗網網絡犯罪市場購買了被盜憑據,還是進行了信息竊取惡意軟件攻擊。無論如何,威脅行為者從2022年8月12日開始使用這些憑據,首先突破了公司的Microsoft Exchange服務器,然后登錄Medibank的Palo Alto Networks Global Protect虛擬專用網絡(VPN)工具,獲得了公司網絡的內部訪問權限。
報告指出,Medibank未能保護用戶數據,因為其未對VPN憑據強制執行多因素認證,導致任何擁有憑據的人都能登錄設備。報告繼續寫道:“威脅行為者僅使用Medibank憑據就能通過認證,登錄Medibank的Global Protect VPN。這是因為,在相關期間,訪問Medibank的Global Protect VPN不需要兩個或兩個以上的身份證明或多因素認證。相反,Medibank的Global Protect VPN被配置為,只需要設備證書或用戶名和密碼(例如Medibank憑據)即可登錄。”
利用對內部網絡的訪問權限,威脅行為者開始在系統中擴散。2022年8月25日至10月13日期間,他們從公司的MARS數據庫和MPLFiler系統竊取了520GB數據。這些數據包括客戶的姓名、出生日期、地址、電話號碼、電子郵件地址、Medicare號碼、護照號碼、健康相關信息和索賠數據(例如患者姓名、醫療服務提供商姓名、主要/次要診斷和程序代碼以及治療日期)。
更糟糕的是,報告指出,公司的EDR軟件于2022年8月24日和25日發出關于可疑行為的警報,但未得到適當的處理。直到10月中旬,Medibank才請來威脅情報公司調查Microsoft Exchange ProxyNotShell事件,這才發現數據已經因網絡攻擊被竊取。
通過多因素認證保護憑據
信息竊取惡意軟件和數據泄露已經導致數十億憑據被盜,形成了一個難以防御的大規模攻擊面,我們必須采取額外的防御措施(如多因素認證)加以應對。所有組織都必須假設其公司憑據已經以某種方式暴露。因此,他們需要使用多因素認證增加一道額外防線,加大威脅行為者突破網絡的難度。
這對于VPN網關尤其重要,因為它們設計為在互聯網公開暴露,以允許遠程員工登錄公司網絡。這也提供了一個常被勒索軟件團伙和其他威脅行為者針對的攻擊面,因此必須用額外的防御措施(如多因素認證)加以保護。
參考資料:https://www.bleepingcomputer.com/news/security/scathing-report-on-medibank-cyberattack-highlights-unenforced-mfa/
來源:安全內參