澳大利亚信息专员办公室(OAIC)日前发布了一份措辞严厉的调查报告,详细说明了黑客如何凭借配置错误和未处理的警报突破Medibank公司的安全防线,并窃取超过900万人的数据。
2022年10月,澳大利亚健康保险提供商Medibank披露其遭遇了一次网络攻击,导致公司运营中断。一周后,公司确认攻击者窃取了其所有客户的个人数据和大量健康索赔数据,970万人的数据被泄露。
此次攻击所涉数据后来被一个名为BlogXX的勒索软件团伙泄露,据信该团伙是已被关闭的REvil勒索软件团伙的分支机构。此次攻击最终被追溯到一名俄罗斯人Aleksandr Gennadievich Ermakov,他已被澳大利亚、英国和美国制裁。
澳大利亚官方调查结果
根据OAIC发布的报告,该机构通过调查确定,重大运营失误导致黑客突破了Medibank的网络。
OAIC新闻稿称:“澳大利亚信息专员指控,从2021年3月至2022年10月,Medibank未能采取合理措施保护客户个人信息免遭滥用、未经授权的访问或披露,违反了1988年《隐私法》,严重侵犯了970万澳大利亚人的隐私。”
根据报告,一切始于一名Medibank的承包商(IT服务台操作员),他在工作电脑上使用个人浏览器配置文件,并将其Medibank凭据保存在浏览器中。这些凭据随后同步到他的家用电脑,而这台电脑感染了信息窃取恶意软件。威胁行为者得以窃取其浏览器中保存的所有密码。2022年8月7日,威胁行为者利用这些凭据,获得了对Medibank标准账户和高级访问(管理员)账户的访问权限。
OAIC报告称:“在相关期间,管理员账户可以访问Medibank的大部分(即便不是全部)系统,包括网络驱动器、管理控制台和远程桌面访问跳转服务器(用于访问Medibank某些目录和数据库)。”
尚不清楚Medibank漏洞攻击者是从在线暗网网络犯罪市场购买了被盗凭据,还是进行了信息窃取恶意软件攻击。无论如何,威胁行为者从2022年8月12日开始使用这些凭据,首先突破了公司的Microsoft Exchange服务器,然后登录Medibank的Palo Alto Networks Global Protect虚拟专用网络(VPN)工具,获得了公司网络的内部访问权限。
报告指出,Medibank未能保护用户数据,因为其未对VPN凭据强制执行多因素认证,导致任何拥有凭据的人都能登录设备。报告继续写道:“威胁行为者仅使用Medibank凭据就能通过认证,登录Medibank的Global Protect VPN。这是因为,在相关期间,访问Medibank的Global Protect VPN不需要两个或两个以上的身份证明或多因素认证。相反,Medibank的Global Protect VPN被配置为,只需要设备证书或用户名和密码(例如Medibank凭据)即可登录。”
利用对内部网络的访问权限,威胁行为者开始在系统中扩散。2022年8月25日至10月13日期间,他们从公司的MARS数据库和MPLFiler系统窃取了520GB数据。这些数据包括客户的姓名、出生日期、地址、电话号码、电子邮件地址、Medicare号码、护照号码、健康相关信息和索赔数据(例如患者姓名、医疗服务提供商姓名、主要/次要诊断和程序代码以及治疗日期)。
更糟糕的是,报告指出,公司的EDR软件于2022年8月24日和25日发出关于可疑行为的警报,但未得到适当的处理。直到10月中旬,Medibank才请来威胁情报公司调查Microsoft Exchange ProxyNotShell事件,这才发现数据已经因网络攻击被窃取。
通过多因素认证保护凭据
信息窃取恶意软件和数据泄露已经导致数十亿凭据被盗,形成了一个难以防御的大规模攻击面,我们必须采取额外的防御措施(如多因素认证)加以应对。所有组织都必须假设其公司凭据已经以某种方式暴露。因此,他们需要使用多因素认证增加一道额外防线,加大威胁行为者突破网络的难度。
这对于VPN网关尤其重要,因为它们设计为在互联网公开暴露,以允许远程员工登录公司网络。这也提供了一个常被勒索软件团伙和其他威胁行为者针对的攻击面,因此必须用额外的防御措施(如多因素认证)加以保护。
参考资料:https://www.bleepingcomputer.com/news/security/scathing-report-on-medibank-cyberattack-highlights-unenforced-mfa/
来源:安全内参