В унищожителен доклад на комисаря по информацията на Австралия се описва как неправилни конфигурации и пропуснати предупреждения са позволили на хакер да проникне в Medibank и да открадне данни на над 9 милиона души.
През октомври 2022 г. австралийският здравноосигурителен доставчик Medibank разкрива, че е претърпял кибератака, която е нарушила дейността на компанията.
Седмица по-късно компанията потвърди, че извършителите на атаката са откраднали всички лични данни на клиентите ѝ и голям брой данни за здравни претенции, което е довело до нарушаване на сигурността на данните, засегнало 9,7 милиона души.
По-късно данните от атаката бяха публикувании от банда за рансъмуер, известна като BlogXX, за която се смяташе, че е разклонение на REvil, която беше затворена.
В крайна сметка атаката беше свързана с руски гражданин на име Александър Генадиевич Ермаков, който беше санкциониран от Австралия, Обединеното кралство и САЩ.
В нов доклад, публикуван от Службата на австралийския комисар по информацията (OAIC), разследването на агенцията установи, че значителни оперативни пропуски са позволили на хакера да пробие мрежата на Medibank.
„Комисарят твърди, че от март 2021 г. до октомври 2022 г. Medibank сериозно се е намесила в личния живот на 9,7 милиона австралийци, като не е предприела разумни мерки за защита на личната им информация от злоупотреба и неоторизиран достъп или разкриване в нарушение на Закона за защита на личните данни от 1988 г.“, се казва в прессъобщение на OAIC.
Според доклада всичко е започнало с това, че изпълнител на Medibank (IT Service Desk Operator) е използвал личния си профил в браузъра на работния си компютър и е запазил идентификационните си данни за Medibank в браузъра.
След това тези пълномощия са били синхронизирани с домашния му компютър, който се е заразил със зловреден софтуер за кражба на информация, което е позволило на участниците в заплахата да откраднат всички запазени пароли в браузъра му на 7 август 2022 г. Тези идентификационни данни осигурявали достъп както до стандартен, така и до акаунт с повишен достъп (администратор) в Medibank.
„По време на съответния период акаунтът на администратора е имал достъп до повечето (ако не и до всички) системи на Medibank, включително до мрежови дискове, конзоли за управление и достъп от отдалечен десктоп до сървъри на jump box (използвани за достъп до определени директории и бази данни на Medibank)“, се казва в доклада на OAIC.
Не е ясно дали нападателят, който стои зад пробива в Medibank, е закупил откраднатите идентификационни данни от онлайн пазар за киберпрестъпления в тъмната мрежа или е провел кампанията за кражба на информация чрез зловреден софтуер.
Въпреки това нападателят е започнал да използва тези пълномощия на 12 август, за да пробие първо сървъра Microsoft Exchange на компанията, а по-късно да влезе във виртуалната частна мрежа (VPN) на Palo Alto Networks Global Protect на Medibank, осигурявайки вътрешен достъп до корпоративната мрежа.
В доклада се посочва, че Medibank не е успяла да защити данните на потребителите, тъй като не е приложила многофакторна автентификация на идентификационните данни за VPN и е позволила на всеки, който има достъп до идентификационните данни, да влезе в устройството.
„Престъпникът е бил в състояние да се удостовери и да влезе в Global Protect VPN на Medibank, използвайки само идентификационните данни на Medibank, тъй като през съответния период достъпът до Global Protect VPN на Medibank не е изисквал две или повече доказателства за самоличност или многофакторна автентикация (MFA). По-скоро Global Protect VPN на Medibank е била конфигурирана така, че е бил необходим само сертификат на устройството или потребителско име и парола (като например данните на Medibank)“, продължава докладът.
Използвайки този достъп до вътрешната мрежа, извършителят е започнал да се разпространява из системите, като между 25 август и 13 октомври 2022 г. е откраднал 520 GB данни от системите MARS Database и MPLFiler на компанията.
Тези данни са включвали имена на клиенти, дати на раждане, адреси, телефонни номера, имейл адреси, номера на Medicare, номера на паспорти, информация, свързана със здравето, и данни за искове (като имена на пациенти, имена на доставчици, кодове на първична/вторична диагноза и процедура и дати на лечение.
В доклада се твърди, че на 24 и 25 август софтуерът EDR на компанията е подал сигнали за подозрително поведение, които не са били правилно подбрани.
Едва в средата на октомври, когато Medibank привлича фирма за разузнаване на заплахи, за да разследва инцидента с Microsoft Exchange ProxyNotShell, открива, че данните са били откраднати преди това при кибератаката.
Тъй като милиарди удостоверения са били откраднати от зловреден софтуер за кражба на информация и нарушения на сигурността на данните, това създава огромна повърхност за атаки, срещу която е трудно да се защити без допълнителни средства за защита, като например многофакторно удостоверяване.
Всички организации трябва да работят с допускането, че техните корпоративни удостоверения са били изложени на риск по някакъв начин, и по този начин използването на MFA добавя допълнителна защита, която значително затруднява проникването в мрежата от страна на заплахите.
Това е особено вярно за VPN шлюзовете, които са проектирани да бъдат публично изложени в интернет, за да позволят на отдалечените служители да влизат в корпоративните мрежи.
Това обаче също така осигурява повърхност за атака, която обикновено е цел на бандите за откуп и други заплахи за пробив в мрежите и поради това трябва да бъде защитена с допълнителни защити, като например MFA.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.