Avustralya Düzenleyicileri Medibank Hack’ini Detaylandırıyor: VPN’de MFA Yok

Olayda çalınan ve karanlık ağda yayınlanan Medibank verileri arasında isim, doğum tarihi, cinsiyet, Avustralya Medicare numarası, ikamet adresi, e-posta adresi, telefon numarası, uluslararası işçi ve ziyaretçi müşterilere yönelik vize bilgileri ve sağlık bilgileri de dahil olmak üzere 9,7 milyon kişinin bilgileri yer alıyordu. talep verileri – hasta adları, sağlayıcı adları, sağlayıcının konumu ve iletişim bilgileri, teşhis numaraları ve prosedür numaraları ve tedavi tarihleri ​​gibi.

Medibank saldırısının arkasındaki bilgisayar korsanı, yalnızca bilgisayar korsanının anlaşmalı bir BT hizmetleri masası operasyonlarından çaldığı Medibank kimlik bilgilerini kullanarak Medibank’ın Global Koruma VPN’inde kimlik doğrulaması yapmayı ve oturum açmayı başardı çünkü “ilgili dönemde Medibank’ın Global Koruma VPN’ine erişim iki veya daha fazlasını gerektirmiyordu Avustralya’nın bilgi komiseri Cuma günü bir federal mahkeme dosyasında, “kimlik kanıtları veya çok faktörlü kimlik doğrulaması” dedi.

Bilgi komisyoncusu, 12 Mart 2021’den 13 Ekim 2022’ye kadar “Medibank’ın kişisel bilgilerini tuttuğu mevcut ve eski Medibank müşterilerinden oluşan yaklaşık 9,7 milyon kişinin gizliliğine ciddi şekilde, ek veya alternatif olarak tekrar tekrar müdahale ettiğini, Avustralya Gizlilik İlkesi 11.1’i ihlal edecek şekilde kişisel bilgileri kötüye kullanıma ve/veya yetkisiz erişime veya ifşaya karşı korumak için makul adımları atmayarak.”

Bu ilke, bir kuruluşun elindeki kişisel bilgilerin güvenliğini sağlamak için aktif önlemler almasını ve kişisel bilgilerin saklanmasına izin verilip verilmediğini aktif olarak değerlendirmesini gerektirir.

Düzenleyici, sigorta şirketinin 2022 hackinin “ilgili zamanında” “siber güvenlik ve bilgi güvenliği çerçevesindeki ciddi eksikliklerin” farkında olduğunu iddia ederek olayla ilgili olarak Medibank’tan milyonlarca dolarlık mali ceza talep ediyor.

Medibank, 2022’de 7,1 milyar dolar gelir elde etti ve yaklaşık 3.300 çalışana istihdam sağladı. Mahkeme belgelerinde, temel BT güvenliği fonksiyonunun 13 tam zamanlı BT güvenliği uzmanından oluşan bir ekipten oluştuğu ve 2022 mali yılı bilgi teknolojisi bütçesinin yaklaşık 4 ila 5 milyon dolar arasında olduğu ve bunun 1 milyon dolarının siber güvenliğe ayrıldığı belirtildi.

Her ne kadar mahkeme dosyasında hack olayına karışan tehdit aktörünün adı belirtilmese de, bu yılın başlarında Avustralya hükümeti – ABD ve İngiltere ile birlikte – Medibank saldırısının arkasında olmakla suçlanan bir Rus vatandaşına yaptırım uyguladı.

Ocak ayında Avustralya, ülkenin 2011 Özerk Yaptırımlar Yasası uyarınca Rus uyruklu Aleksandr Ermakov’a Medibank hacklemesindeki rolü nedeniyle bir “siber yaptırım” uyguladı; yasa kapsamında ilk kez bir yaptırım uygulandı (bkz: Avustralya, ABD ve İngiltere’den Rusya’ya 2022 Medibank İhlaline Karşı Yaptırım).

Rus siber güvenlik firması FACCT’ye göre, Ocak ayında Ermakov, Rusya ceza kanununun zararlı bilgisayar kodlarının oluşturulmasını, kullanılmasını veya dağıtılmasını yasaklayan 273. Maddesini ihlal etmek suçlamasıyla tutuklanan üç kişi arasında Rus polisi de vardı (bkz: Rusya, Revil’le Bağlantılı Medibank Hackerının Tutuklandığını Duyurdu).

İhlal Ayrıntıları

Bilgi komisyonunun mahkeme dosyasında, bilgisayar korsanının Medibank sistemlerine nasıl eriştiği ayrıntılarıyla anlatılıyor.

7 Ağustos 2022’den önce, üçüncü taraf bir Medibank yüklenicisinin BT hizmet masası operatörü olarak çalışan bir çalışanı, bir dizi Medibank hesabına ait Medibank kullanıcı adını ve şifresini, iş bilgisayarındaki kişisel internet tarayıcı profiline kaydetti. Mahkeme belgelerinde, bu aracın Medibank’a BT hizmetleri sağlamak için kullanıldığı belirtildi.

“Bilgi Teknolojileri Hizmet Masası operatörü daha sonra kişisel bilgisayarındaki internet tarayıcı profiline giriş yaptığında, kişisel bilgisayarıyla senkronize edilen kimlik bilgileriyle Medibank sistemlerine erişildi. Çalıştığı süre boyunca Medibank hesaplarına kendi kişisel bilgisayarını kullanarak erişim sağladı. Bilgi komiseri mahkeme dosyasında, standart erişimli bir hesap ve yükseltilmiş erişimli bir ‘yönetici hesabı’ içeren Medibank Kimlik Bilgilerinin bulunduğunu söyledi.

Mahkeme belgesinde, “İlgili Dönem boyunca yönetici hesabının, ağ sürücüleri, yönetim konsolları ve belirli Medibank dizinlerine ve veritabanlarına erişim için kullanılan atlama kutusu sunucularına uzak masaüstü erişimi dahil olmak üzere Medibank’ın sistemlerinin tümü olmasa da çoğuna erişimi vardı.” .

7 Ağustos 2022’de veya buna yakın bir tarihte, Medibank kimlik bilgileri, kötü amaçlı yazılım türevi kullanan bir tehdit aktörü tarafından BT hizmet masası yüklenicisinin kişisel bilgisayarından çalındı.

Bir tehdit aktörü, çalınan Medibank kimlik bilgilerini kullanarak ilk kez 12 Ağustos 2022’de Medibank’ın Microsoft Exchange sunucusunda oturum açtı ve yönetici hesabı için Medibank kimlik bilgilerini test etti. Dosyaya göre, yaklaşık 23 Ağustos 2022’de hacker, Medibank kurumsal ağına uzaktan erişimi kontrol eden Medibank’ın Küresel Koruma Sanal Özel Ağı’nda kimlik doğrulaması yaptı ve oturum açtı.

Tehdit aktörü, yaklaşık 25 Ağustos 2022’den 23 Ekim 2022’ye kadar, Medibank müşterilerinin hassas kişisel ve sağlık bilgilerini içeren bir veritabanı da dahil olmak üzere çok sayıda Medibank BT sistemine erişmek için Medibank kimlik bilgilerini kullandı. Mahkeme dosyasında, tehdit aktörünün Medibank veri tabanından ve diğer sistemlerden 520 gigabayt veri sızdırdığı belirtildi.

Bilgi komisyoncusu, “Tehdit aktörü, yalnızca Medibank kimlik bilgilerini kullanarak Medibank’ın Global Koruma VPN’inde kimlik doğrulaması yapabildi ve oturum açabildi, çünkü ilgili dönemde Medibank’ın Global Koruma VPN’sine erişim iki veya daha fazla kimlik kanıtı veya çok faktörlü kimlik doğrulama gerektirmiyordu.” mahkeme belgelerinde söyledi.

“Bunun yerine, Medibank’ın Global Koruma VPN’i yalnızca bir cihaz sertifikası veya kullanıcı adı ve şifrenin gerekli olacağı şekilde yapılandırılmıştır.”

Mahkeme belgesinde, 24 Ağustos 2022 tarihinde veya buna yakın bir tarihte, Medibank’ın uç nokta tespit ve yanıt yazılımının, tehdit aktörünün faaliyetleriyle ilgili olarak Medibank BT güvenlik operasyonları e-posta adresine gönderilen çeşitli uyarılar ürettiği belirtildi. “Bu uyarılar Medibank veya hizmet sağlayıcısı tarafından uygun şekilde tetiklenmedi veya iletilmedi.”

Medibank, Bilgi Güvenliği Medya Grubu’nun bilgi komiserinin mahkeme dosyasına ilişkin yorum talebine hemen yanıt vermedi.

Ortak Zayıflık

Çok faktörlü kimlik doğrulamanın eksikliği, UnitedHealth Group’un Change Healthcare birimine Şubat ayında düzenlenen büyük siber saldırı da dahil olmak üzere, irili ufaklı diğer birçok sağlık sektörü ihlalinde önemli bir rol oynadı.

UHG CEO’su Andrew Witty, geçtiğimiz ay iki kongre komitesi huzurunda verdiği ifadede, saldırganların, UHG’nin dışarıya bakan sistemlerde MFA’nın zorunlu kılınmasını da içeren siber güvenlik standartlarına rağmen, MFA’dan yoksun, dışa dönük bir Change Healthcare sunucusuna eriştiğini söyledi (bkz.: Milletvekilleri Grill UnitedHealth Grubu CEO’su Sağlık Hizmetlerinde Değişim Saldırısı Konusunda).

Witty, UHG’nin Change Healthcare’i 2022 sonlarında satın aldığını ve saldırı meydana geldiğinde Change Healthcare’in BT sistemlerini güncelleme sürecinde olduğunu ifade etti.

Bazı uzmanlar, ne yazık ki, sağlık sektörü kuruluşlarında MFA’nın zaman aşımına uğramasının nadir olmadığını söyledi.

Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, “Birleşme ve satın alma incelemesi sırasında, güvenlik kontrolleri ve uyumluluk genel olarak değerlendirilir, ancak çok ayrıntılı olarak değerlendirilmez. Oturum açmaları kabul eden, internete yönelik bir sistem bu süreçte gözden kaçırılabilir” dedi.

Gizlilik ve güvenlik danışmanlığı Clearwater’ın baş risk sorumlusu Jon Moore, “Büyük sağlık kuruluşları, çok sayıda eski sistem ve cihazı içeren karmaşık BT altyapıları nedeniyle genellikle MFA’yı BT ortamlarında etkili bir şekilde uygulamakta başarısız oluyor” dedi.

“Uyumluluk sorunları, yüksek uygulama maliyetleri ve operasyonlardaki potansiyel kesintiler nedeniyle MFA’nın tüm bu sistemlere entegre edilmesi zor olabilir” dedi. Ayrıca Moore, bu kuruluşların sistem veya bileşen düzeyinde kapsamlı bir sistem envanteri ve risk analizinden yoksun olabileceğini, bunun da MFA’nın yokluğu ve bunun kuruluş üzerindeki potansiyel etkileri nedeniyle farkındalık eksikliğine yol açabileceğini söyledi.

Hamilton, hastaneler, klinikler ve doktor muayenehaneleri de dahil olmak üzere sağlık hizmeti sunan kuruluşlara gelince, “doktorlar çok faktörlü kimlik doğrulama gibi kontrollere direniyor” dedi. Doktorlar ‘ürün’ olduğunda ve kuruluşun gelirinin büyük bölümünü oluşturduğunda, onların kaygılarının ele alınması gerekir ve bunun MFA uygulaması gibi projelerin kaymasına veya rafa kaldırılmasına neden olduğu bilinmektedir” dedi.

Ancak ABD’deki düzenleyiciler, çok faktörlü kimlik doğrulama kullanımı da dahil olmak üzere sağlık sektörü genelinde siber güvenlik uygulamalarına ilişkin çıtayı yükseltmeye çalışıyor.

MFA, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın sağlık sektörü için Ocak ayında yayınladığı “temel” siber güvenlik performans hedefleri arasında yer alıyor. CPG’ler şu anda “gönüllü” olan 10 temel ve geliştirilmiş uygulamayı içermektedir, ancak HHS’nin bu yıl, Medicare programlarına katılan hastaneler gibi belirli sağlık kuruluşlarının bu önlemleri uygulamasını gerektiren yeni düzenlemeler yayınlaması beklenmektedir (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).

Hamilton, “MFA’nın bir CPG gerekliliği haline gelmesi halinde, büyük olasılıkla kuruluşun bir veya daha fazla yöneticisi tarafından tasdik istenecektir” dedi. “Yönetim ihmali iddiaları daha sık ortaya çıkmaya başladıkça, bu, uyum iddialarının doğru olduğundan emin olmak için bir motivasyon kaynağı olarak hizmet etmelidir.”