Federaller Sağlık Sektörünü Bir Dizi Siber Tehdide Karşı Uyardı

ABD Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, yakın zamanda yaptığı bir dizi uyarıda, sağlık kuruluşlarını, halihazırda sağlık ve kamu sektöründeki kuruluşları etkilemiş olan bu tehditlere ve diğer ilgili tehditlere karşı savunma konusunda bilinçli ve proaktif olmaya çağırıyor. Sağlık sektörünün yanı sıra diğer sektörlerde de

Dağınık Örümcek

HHS HC3, Scattered Spider’ın, en az 2022’den beri fidye yazılımı saldırıları ve diğer izinsiz girişlerde aktif olan, sağlık hizmetleri de dahil olmak üzere çeşitli sektörlerdeki kuruluşları hedef alan, mali motivasyona sahip, ana dili İngilizce olan bir tehdit aktörü grubu olduğunu söyledi.

Octo Tempest, Roasted 0ktapus, Storm-0875, Starfraud, UNC3944, Scatter Swine ve Muddled Libra olarak da bilinen grup, kurbanların seslerini taklit etmek için yapay zeka araçlarını kullanarak sesli kimlik avı gibi gelişmiş sosyal mühendislik teknikleriyle tanınıyor. HHS HC3, hedeflenen kuruluşlara ilk erişimin elde edildiğini söyledi. Ajans, grubun muhtemelen tespit edilmekten kaçınmak için taktiklerini, tekniklerini ve prosedürlerini geliştirmeye devam edeceğini söyledi.

HHS HC3, “Scattered Spider, kampanyalarında hem kamuya açık hem de meşru araçlar da dahil olmak üzere çeşitli kötü amaçlı yazılımlardan ve araçlardan yararlandı” dedi. “Örneğin, grup çeşitli uzaktan izleme ve yönetim araçlarından yararlandı, birden fazla bilgi hırsızı kullandı ve finansal kazanç elde etmek için ALPHV/BlackCat fidye yazılımını kurban ortamlarına dağıttı.

Dağınık Örümcek tehdit aktörleri, kurban ağlarında gezinmek için karadan yaşama (veya LOTL) tekniklerini ve izin verilenler listesine alınmış uygulamaları kullanarak ve ayrıca TTP’lerini sık sık değiştirerek hedef ağlarda tespit edilmekten kurtuldu.

Bazı uzmanlar, grubun sağlık sektörü kuruluşlarına yönelik oluşturduğu tehdit düzeyi konusunda HHS HC3 değerlendirmesine katılıyor.

Rapid7 güvenlik firmasının tehdit analitiği kıdemli direktörü Christaan ​​Beek, “Scattered Spider’ın sosyal mühendislik kullanımı, özellikle de yapay zeka destekli sesli kimlik avı, onu büyük bir tehdit haline getiriyor çünkü tipik savunmaları aşabiliyor ve insanların zayıf noktalarını avlayabiliyor” dedi.

“Sağlık çalışanları çoğu zaman birçok görevi birden yerine getiriyor ve bu seviyedeki sosyal mühendisliği hemen fark edemeyebilir, bu da organizasyonlarını riske atabilir. Ayrıca grubun çeşitli fidye yazılımı türlerini kullanma konusundaki esnekliği, büyük kesintiler ve veri hırsızlığı potansiyelini artırıyor” dedi.

“Özellikle sosyal mühendislik bileşenine odaklanan güvenlik farkındalığı eğitimi önemlidir, ancak aynı zamanda sağlık BT ekiplerinin, harici saldırı yüzeylerinin yanı sıra mevcut teknoloji, insanlar ve süreçlerin etkin ve verimli bir şekilde gerçekleştirilebilmesi için tam görünürlüğe sahip olmalarını sağlamak için daha da ileri gitmeleri de kritik öneme sahiptir. Saldırıları etkili bir şekilde tespit edip karşılık veriyoruz” dedi.

Karada Yaşayan Saldırılar

HHS HC3’ün ayrı bir uyarıda belirttiği gibi, Dağınık Örümcek’in yanı sıra diğer tehdit aktörleri de saldırılarında LOTL tekniklerini kullanmaya güveniyor ve sağlık hizmetleri öncelikli hedeftir. LOTL saldırılarında bilgisayar korsanları, kötü amaçlı eylemler gerçekleştirmek için kurbanların sisteminde bulunan yasal yazılım ve işlevleri kullanır, bu da bunların eski güvenlik araçlarıyla tespit edilmesini zorlaştırır.

HHS HC3, “Bu tür saldırılar, öncelikle diskteki dosyaları tarayan geleneksel antivirüs yazılımını atlayarak kötü amaçlı kodları doğrudan bellekte yürütmek için komut dosyası dillerinden yararlanıyor ve güvenlik ekiplerinin bu saldırıları tespit etmesini ve azaltmasını son derece zorlaştırıyor” diye uyarıyor.

LOTL saldırıları, bilgisayar korsanlarına ayrıcalıkları artırma, verileri sızdırma ve gelecekteki erişim için arka kapılar oluşturma konusunda daha fazla zaman tanır. HHS HC3, “LOTL saldırıları, çok çeşitli güvenilir araç ve teknolojilere dayanan sağlık sistemlerine karşı özellikle etkilidir” dedi.

F5 Yanlış Yapılandırma Açıklarından Yararlanmalar

HHS HC3, F5’in yanlış yapılandırmalarından yararlanan tehdit aktörlerinin sağlık sektörü kuruluşları için de büyük bir endişe kaynağı olduğunu söyledi.

HHS HC3, “Çoklu bulut uygulama hizmetleri ve güvenlik şirketinin BIG-IP yazılımı ve donanımı olan F5 Networks, Inc., yıllardır çeşitli tehdit aktörleri tarafından güvenlik açıklarından yararlanmaya maruz kalıyor.” dedi.

F5 ürün paketi, ağ uygulamaları için yük dengeleme, DNS ve bağlantı gibi çeşitli hizmetleri içerir. HHS HC3, “Yüksek bant genişlikli etkileşimleri yönetebilme yeteneği, hem ulus devletlerin hem de siber suç gruplarının temel hedefleri olan büyük işletmeler ve hükümetler arasında onu popüler kılıyor.” dedi.

“Bu nedenle herhangi bir güvenlik açığı, F5’in BIG-IP kullanıcılarının yanı sıra kişisel ve finansal bilgileri savunmasız bir cihazda saklanabilen veya bu cihaz tarafından işlenebilen üçüncü taraflar için önemli bir güvenlik riskidir.”

HHS HC3, F5 yanlış yapılandırma istismarlarını içeren bu tür istismar riskini azaltmak için, CISA da dahil olmak üzere diğer federal yetkililerin “tüm kuruluşlara, güvenlik açığı yönetimi uygulamalarının bir parçası olarak katalog güvenlik açıklarının zamanında iyileştirilmesine öncelik vererek siber saldırılara maruz kalmalarını azaltmalarını şiddetle tavsiye ettiğini” belirtiyor.

Mucize İstismar

HHS HC3 ayrıca birçok sağlık kuruluşunun, Oracle ürünlerindeki bir dizi kritik güvenlik açığı olan ve öncelikle Oracle Fusion Middleware’i ve Java EE için web arayüzleri oluşturmak için kullanılan ADF Faces çerçevesini etkileyen “Miracle Exploit” içeren saldırılara karşı da risk altında olduğu konusunda uyarıyor. uygulamalar.

HHS HC3, ilk olarak 2022’de açıklanan istismarın CVE-2022-21445 ve CVE-2022-21497’yi içerdiğini ve bunların her ikisinin de saldırganların kimlik doğrulaması olmadan uzaktan kod çalıştırmasına izin verdiğini söyledi.

“Bu, tüm sistemin tehlikeye atılmasına, potansiyel olarak hassas verilerin açığa çıkmasına ve bir ağ içinde yanal hareketin sağlanmasına yol açabilir. Sağlık hizmetleri kuruluşları, özellikle ADF Faces çerçevesine dayanan Oracle Fusion Middleware ürünlerini kullanıyorlarsa, Mucize İstismarına karşı savunmasız kalabilirler.” HHS HC3 söz konusu.

Uyarıda, sağlık kuruluşlarının kritik operasyonları ve hassas hasta verilerini yönetmek için sıklıkla karmaşık BT altyapılarına ve ara yazılımlara bağımlı olması nedeniyle, güvenlik açıklarının kapatılmaması halinde önemli risk altında olabileceği uyarısı yapıldı.

“Sağlık kuruluşları, elektronik sağlık kayıtlarını, hasta faturalandırmasını ve diğer kritik hizmetleri yönetmek için büyük ölçüde kurumsal yazılımlara güveniyor. Bu sistemler, savunmasız Oracle ara katman yazılımı bileşenleriyle entegre edilirse, kötüye kullanımın sonuçları, özellikle HIPAA kapsamında veri ihlallerini, operasyonel kesintileri ve düzenleyici cezaları içerebilir. ” dedi HHS HC3.

Uyarılara Dikkat Edin

Uzmanlar, HHS HC3’ün öne çıkardığı tüm tehditlerin, özellikle kuruluşun altyapısında kullanılan teknolojiye ve kuruluşun onu ne kadar iyi yamaladığına bağlı olarak sağlık sektörü kuruluşları için önemli endişeler oluşturabileceğini söyledi.

Güvenlik firması Semperis’in olay müdahale direktörü Jeff Wichman, “Tarihsel olarak F5, kendi içinde yönetilmesi karmaşık bir sistem olmuştur ve genellikle ağ bölümleri arasında bağlantı sağlar” dedi.

“Saldırganlar, kötü amaçlı faaliyetler gerçekleştirmek için meşru yazılım kurulumları kullandığından karadan yaşamak her zaman endişe verici olacaktır. Saldırganın erişim için kötü amaçlı yazılım veya C2 yazılımı dağıtmasına gerek olmadığında olay müdahale ekiplerinin tehditleri tespit etmesi çok daha zordur.” dedi.

Ancak Oracle bileşenlerini kullanan sağlık kuruluşları için HHS HC3’ün Miracle Exploit uyarısının en endişe verici ve acil uyarı olduğunu söyledi. “EHR ve hasta faturalandırması tam olarak bilgisayar korsanlarının peşine düşeceği şeydir, çünkü buradaki tavizler organizasyon üzerinde en büyük etkiye sahip olacak ve iyileşmesi en uzun sürecektir” dedi.

“Mucize İstismar, sağlık hizmeti ortamında yama yapılması en karmaşık öğelerden biridir. EHR sistemleri altyapıdaki en önemli öğe olduğundan, yama uygulama ve güncelleme konusunda risklere daha duyarlıdırlar.”

Elbette, çoğu sektör gibi sağlık sektörü de HHS HC3’ün en son uyarılarının çok ötesinde çok uzun ve büyüyen bir tehdit listesiyle karşı karşıya.

Beek, örneğin tele-sağlık hizmetleri genişledikçe daha fazla sağlık cihazının internete bağlı hale geldiğini ve bu cihazların cazip hedefler haline geldiğini söyledi. “Ne yazık ki, güvenlik mimarisi geleneksel olarak bu tür cihazların birçoğunun tasarım sürecine entegre edilmedi.”

Uzmanlar, sağlık sektörü kuruluşlarının aynı zamanda satıcıları, hizmet sağlayıcıları ve diğer üçüncü tarafların oluşturduğu risklere karşı da dikkatli olmaları gerektiğini söyledi.

FTI Consulting’in siber güvenlik uygulamaları direktörü ve eski bir ABD Gizli Servisi özel ajanı ve yöneticisi olan Matthew Chevraux, “Tehdit aktörleri, birden fazla kuruluşa ağ erişimlerine sahip oldukları ve genellikle daha zayıf siber güvenlik kontrollerine sahip oldukları için hizmet sağlayıcılarını aktif olarak hedef alıyor” dedi.

“Bağlantılı bir kuruluş aracılığıyla yetkisiz erişim elde etmek daha kolay olabilir ve birden fazla sağlık kuruluşuna giriş yapılmasını sağlayabilir” dedi. “Tehdit aktörleri hedeflerine ulaşmak için genellikle en az dirençle karşılaşacakları yolu ararlar ve bu da genellikle bağlantılı bir üçüncü taraf biçiminde gelir.”