澳大利亚信息专员办公室（OAIC）日前发布了一份措辞严厉的调查报告，详细说明了黑客如何凭借配置错误和未处理的警报突破Medibank公司的安全防线，并窃取超过900万人的数据。

2022年10月，澳大利亚健康保险提供商Medibank披露其遭遇了一次网络攻击，导致公司运营中断。一周后，公司确认攻击者窃取了其所有客户的个人数据和大量健康索赔数据，970万人的数据被泄露。

此次攻击所涉数据后来被一个名为BlogXX的勒索软件团伙泄露，据信该团伙是已被关闭的REvil勒索软件团伙的分支机构。此次攻击最终被追溯到一名俄罗斯人Aleksandr Gennadievich Ermakov，他已被澳大利亚、英国和美国制裁。

澳大利亚官方调查结果

根据OAIC发布的报告，该机构通过调查确定，重大运营失误导致黑客突破了Medibank的网络。

OAIC新闻稿称：“澳大利亚信息专员指控，从2021年3月至2022年10月，Medibank未能采取合理措施保护客户个人信息免遭滥用、未经授权的访问或披露，违反了1988年《隐私法》，严重侵犯了970万澳大利亚人的隐私。”

根据报告，一切始于一名Medibank的承包商（IT服务台操作员），他在工作电脑上使用个人浏览器配置文件，并将其Medibank凭据保存在浏览器中。这些凭据随后同步到他的家用电脑，而这台电脑感染了信息窃取恶意软件。威胁行为者得以窃取其浏览器中保存的所有密码。2022年8月7日，威胁行为者利用这些凭据，获得了对Medibank标准账户和高级访问（管理员）账户的访问权限。

OAIC报告称：“在相关期间，管理员账户可以访问Medibank的大部分（即便不是全部）系统，包括网络驱动器、管理控制台和远程桌面访问跳转服务器（用于访问Medibank某些目录和数据库）。”

尚不清楚Medibank漏洞攻击者是从在线暗网网络犯罪市场购买了被盗凭据，还是进行了信息窃取恶意软件攻击。无论如何，威胁行为者从2022年8月12日开始使用这些凭据，首先突破了公司的Microsoft Exchange服务器，然后登录Medibank的Palo Alto Networks Global Protect虚拟专用网络（VPN）工具，获得了公司网络的内部访问权限。

报告指出，Medibank未能保护用户数据，因为其未对VPN凭据强制执行多因素认证，导致任何拥有凭据的人都能登录设备。报告继续写道：“威胁行为者仅使用Medibank凭据就能通过认证，登录Medibank的Global Protect VPN。这是因为，在相关期间，访问Medibank的Global Protect VPN不需要两个或两个以上的身份证明或多因素认证。相反，Medibank的Global Protect VPN被配置为，只需要设备证书或用户名和密码（例如Medibank凭据）即可登录。”

利用对内部网络的访问权限，威胁行为者开始在系统中扩散。2022年8月25日至10月13日期间，他们从公司的MARS数据库和MPLFiler系统窃取了520GB数据。这些数据包括客户的姓名、出生日期、地址、电话号码、电子邮件地址、Medicare号码、护照号码、健康相关信息和索赔数据（例如患者姓名、医疗服务提供商姓名、主要/次要诊断和程序代码以及治疗日期）。

更糟糕的是，报告指出，公司的EDR软件于2022年8月24日和25日发出关于可疑行为的警报，但未得到适当的处理。直到10月中旬，Medibank才请来威胁情报公司调查Microsoft Exchange ProxyNotShell事件，这才发现数据已经因网络攻击被窃取。

通过多因素认证保护凭据

信息窃取恶意软件和数据泄露已经导致数十亿凭据被盗，形成了一个难以防御的大规模攻击面，我们必须采取额外的防御措施（如多因素认证）加以应对。所有组织都必须假设其公司凭据已经以某种方式暴露。因此，他们需要使用多因素认证增加一道额外防线，加大威胁行为者突破网络的难度。

这对于VPN网关尤其重要，因为它们设计为在互联网公开暴露，以允许远程员工登录公司网络。这也提供了一个常被勒索软件团伙和其他威胁行为者针对的攻击面，因此必须用额外的防御措施（如多因素认证）加以保护。

参考资料：https://www.bleepingcomputer.com/news/security/scathing-report-on-medibank-cyberattack-highlights-unenforced-mfa/

来源：安全内参