Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Sağlık Hizmetleri
HHS Raporu APT41, APT43 ve Lazarus’u En Büyük Tehdit Grupları Arasında Listeliyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
22 Eylül 2023
Federal yetkililer, Çinli ve Kuzey Koreli siber suçlu gruplarının, casusluk ve fikri mülkiyet hırsızlığını içeren veri sızdırma saldırıları da dahil olmak üzere ABD sağlık ve kamu sağlığı sektörüne önemli “benzersiz tehditler” oluşturmaya devam ettiği konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
En büyük tehdit aktörleri arasında Double Dragon ve Wicked Panda olarak da bilinen Çin devleti destekli grup APT41; Kimsuky, Velvet Chollima ve Emerald Sleet olarak da bilinen veya bunlara bağlı olan Kuzey Kore sponsorluğundaki Lazarus Group ve APT43; ve Talyum, Sağlık ve İnsan Hizmetleri Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Perşembe günü yayınlanan bir tehdit brifinginde şunları söyledi.
HHS HC3, “Çin ve Kuzey Kore önemli siber güçlerdir; mutlak anlamda Çin ve göreceli olarak Kuzey Kore.” dedi. “Her iki ülkedeki iç siyaset, ABD sağlık sektörüne tehdit oluşturan tek önemli siber suçluların devlet destekli olduğu benzersiz bir siber suç ekosistemi yarattı.”
HHS HC3, en önemlisi, Kuzey Kore ve Çin menşeli finansal motivasyona sahip grupların “diğer birçok siber suç çetesinin tüm gelişmişliğine sahip olmasının yanı sıra arkalarında bir devletin teknolojik, finansal ve diplomatik kaynaklarına da sahip olduğu” uyarısında bulundu.
Bazı sektör uzmanları HHS HC3’ün tehditlere ilişkin değerlendirmesine katılıyor. Sağlık Bilgi Paylaşımı ve Analiz Merkezi güvenlik şefi Errol Weiss, Information Security Media Group’a şunları söyledi: “APT41, APT43 ve Lazarus Grubu, sağlık sektörü için Çin ve Kuzey Kore’den gelen en önemli siber tehditlerden bazılarını temsil ediyor.”
“Bu siber çeteler, kendi halklarına sağlık hizmeti sunumunu desteklemek ve geliştirmek için kendi ulusal çıkarları doğrultusunda hareket ediyor ve biyoteknoloji ve sağlık hizmetleri Ar-Ge’sini çalarak bu hedeflere ulaşmak için saldırgan siber operasyonları aktif olarak kullanıyor” dedi.
Çin’den Gelen Tehditler
HHS, Çin’in Asya’daki “en güçlü siber güç” olduğunu ve siber suç gruplarının, sektörler arası ekonomik kalkınmayı desteklemek için genellikle casusluk ve fikri mülkiyet hırsızlığı da dahil olmak üzere veri hırsızlığına odaklandığını söyledi.
HHS HC3, Pazartesi günü düzenlenen bir endüstri konferansında FBI Direktörü Christopher Wray’in, Çin’in diğer tüm büyük ulusların toplamından daha büyük bir bilgisayar korsanlığı programına sahip olduğunu söyledi.
Wray, “FBI’ın siber ajanları ve istihbarat analistlerinin her biri yalnızca Çin’e odaklansaydı, Çinli bilgisayar korsanlarının sayısı yine de siber personelimizden en az 50’ye 1 oranında üstün olurdu” dedi.
Çin siber saldırıları genellikle beş yıllık bir planla uyumlu ve mevcut plan 2021’den 2025’e kadar sürüyor. HHS HC3, sağlık sektörlerinde bu saldırıların klinik tıp, genetik, biyoteknoloji, sinir bilimi ve araştırma ve geliştirmeyi hedef aldığını yazdı.
HHS HC3, özellikle Çin devleti sponsorluğundaki APT41’in, Çin’in kendi Ar-Ge çabalarını artırmak amacıyla ABD sağlık sektörünü hedefleme konusunda “son derece sofistike ve yenilikçi” olduğunu söyledi.
Grubun odak noktası genellikle bireyleri hedef alan tedarik zinciri uzlaşmaları, güvenliği ihlal edilmiş dijital sertifikaların sık kullanımı ve Bootkit operasyonlarıdır.
HHS HC3, daha önceki bir APT41 kampanyasında grubun Temmuz 2014’ten Mayıs 2016’ya kadar büyük bir şirketin tıbbi cihazlar yan kuruluşuna sürekli ve hedefli siber saldırılar gerçekleştirdiğini söyledi.
HHS HC3, “Hedefleri ana şirketti, ancak ele geçirilen sistemlerin çoğu tıbbi cihaz yan kuruluşuyla ilişkiliydi. APT41’in tıbbi cihaz yan kuruluşu tarafından kullanılan bilgi teknolojisi ve yazılımla ilgilendiğine inanılıyor.” dedi.
Bir keylogger olan Gearshift, tıbbi cihaz şirketinin ortamında konuşlandırıldı; sertifikalar çalındı ve daha sonra bir biyoteknoloji şirketini hedef almak için kullanıldı.
HHS HC3, “Biyoteknoloji şirketinin faaliyetleriyle ilgili hassas bilgiler hedef alındı. Bunlar arasında insan kaynakları bilgileri, vergi verileri, geliştirilen ilaç klinik deneyleriyle ilgili veriler, akademik araştırmalar ve Ar-Ge finansmanıyla ilgili bilgiler yer alıyordu.” dedi.
Kuzey Kore Tehditleri
Bu arada HHS HC3, APT43 ve Lazarus Grubu da dahil olmak üzere Kuzey Kore devleti destekli siber suç gruplarından kaynaklanan tehditlerin de ABD sağlık ve kamu sağlığı sektörü için önemli endişeler oluşturduğunu yazdı.
HHS HC3, APT43’ün sosyal mühendislik, hedef odaklı kimlik avı, kimlik bilgileri toplama ve sahte kimliklere yönelik yetenekleri açısından orta derecede gelişmiş kabul edildiğini söyledi.
Grup, Pyongyang’ın açık bir emri altında hackleme operasyonlarını finanse etmek için kripto para aklama konusunda yoğun bir şekilde aktif. APT43 ayrıca, Kuzey Kore’nin pandemik müdahale çabalarını desteklemek amacıyla sağlıkla ilgili sektörlere yönelik saldırılar da dahil olmak üzere siber casusluğa da odaklandı (bkz.: Kuzey Koreli Tehdit Grupları Hacklemenin Karşılığını Ödemek İçin Kripto Çalıyor).
HHS HC3, Lazarus Group’un on yılı aşkın süredir Kuzey Kore’nin en aktif siber tehdit gruplarından biri olduğunu söyledi.
Grup casusluk, fikri mülkiyet hırsızlığı, mali dolandırıcılık ve jeopolitik konulara odaklanıyor. Lazarus Group, sağlık hizmetleri ve COVID aşı verilerini içeren fikri hırsızlık saldırıları da dahil olmak üzere bir dizi sektörde büyük siber operasyonların merkezinde yer alıyor.
Harekete geçmek
HHS HC3’ün sağlık sektörünün Çin, Kuzey Kore ve diğer kötü aktörlerin oluşturduğu tehditlere karşı nasıl daha iyi savunma yapabileceği ve bunları nasıl azaltabileceği konusunda uzun bir öneri listesi var.
Yeni veya tanınmayan kullanıcı hesapları için etki alanı denetleyicilerinin, sunucuların, iş istasyonlarının ve aktif dizinlerin incelenmesini içerir; verilerin düzenli olarak yedeklenmesi; ve kritik verilerin kopyalarının, verinin bulunduğu sistemden değiştirilmek veya silinmek üzere erişilebilir olmamasının sağlanması.
Diğer öneriler arasında ağ bölümlendirmesinin uygulanması ve hassas veya özel verilerin ve sunucuların birden çok kopyasının fiziksel olarak ayrı, bölümlere ayrılmış ve güvenli bir konumda tutulması ve saklanması için bir kurtarma planının olması yer alır.
H-ISAC’tan Weiss, bilgi paylaşım topluluğuna aktif katılımın siber tehditlerin önünde kalmanın değerli bir yolu olduğunu söyledi. “Ayrıca Sağlık Endüstrisi Siber Güvenlik Uygulamaları – HICP 2023 baskısında belirtilen kontrolleri de incelemenizi öneririm. Bu belge harika çünkü büyük, orta ve küçük ölçekli işletmelerin ihtiyaçlarını karşılayacak şekilde tasarlandı.”
Diğer Hususlar
HHS HC3’ün raporunda vurgulanan tehditlere ek olarak Weiss, sağlık ve kamu sektörü kuruluşlarına Rusya ve Çin’den gelen dezenformasyon kampanyalarını yakından takip etmelerini tavsiye etti.
“Çinli nüfuz sahipleri, Maui’deki yıkıcı yangınların sorumlusu olarak ABD hükümetinin gizli bir silahını suçlayan sosyal medya kampanyaları başlattı. ‘Yanlış’ ve ‘yanlış’ bilgiler, halk aşılar hakkında güvenilmez bilgileri kabul ettiğinde, güvenli ve etkili sağlık hizmeti sağlama yeteneğini olumsuz yönde etkileyebilir. ve tıbbi prosedürler gerçektir” dedi.