Federaller Sağlık Sektörünü ScreenConnect Tehditleri Konusunda Uyardı

Sağlık ve İnsani Hizmetler Bakanlığı’nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Pazartesi günü yaptığı bir uyarıda, eczaneleri ve diğer sağlık kuruluşlarını ScreenConnect’i de içerebilecek olası uzlaşma göstergeleri açısından “sistemlerini ve ağlarını derhal incelemeleri” konusunda uyardı.

HHS HC3, ScreenConnect saldırısına uğrayan eczane tedarik zinciri ve yönetim hizmetleri sağlayıcısının adını vermese de ajansın uyarısı, güvenlik firması Huntress tarafından geçen Kasım ayında yayınlanan bir rapora atıfta bulunuyordu.

Huntress, Information Security Media Group’a, olayın, kısa süre önce Florida merkezli Outcomes ile birleşen, eczane tedarik zinciri ve yönetilen hizmet firması Transaction Data Systems tarafından kullanılan ScreenConnect’in kendi kendine barındırılan bir sürümünü içerdiğini söyledi. HHS, bu şirketin ABD genelinde sağlık sektörü kuruluşları tarafından yaygın olarak kullanılan Rx30 ve ComputerRx eczane yönetim yazılımı gibi ürün ve hizmetler sağladığını söyledi.

Outcomes web sitesi, şirketin 48.000’den fazla serbest eczane, zincir ve market eczanesini destekleyen hizmetler sağladığını söylüyor.

HHS, tehdit aktörlerinin şirketin BT ortamına, ScreenConnect’in 2019’dan bu yana güncellenmeyen şirket içi, kendi kendine barındırılan bir sürümü aracılığıyla erişim sağladığını söyledi.

HHS, “Etkisi henüz bilinmemekle birlikte önemli olabilir” diye uyardı.

Huntress güvenlik firmasının tehdit operasyonları kıdemli direktörü Chris Henderson, Outcomes’daki uzlaşmanın “saldırganların, hosting şirketinin müşterileri ve kullanıcılarıyla ilgisi olmayan saldırılar için şirketin ScreenConnect sistemini kendi komuta ve kontrol altyapısı olarak kullanmalarına olanak tanıyacağını” söyledi. ISMG’ye saldırıları tespit ettiğini söyledi.

Henderson’a göre Outcomes tarafından kullanılan ScreenConnect sürümü, ScreenConnect’in kendi kendine barındırılan bir sürümüydü ve yazılımın üreticisi ConnectWise tarafından yönetilen bulut tabanlı bir sürüm değildi.

“Kendi kendine barındırma risklerle birlikte gelir: Güvenliği tehlikeye atmayı önlemek için uygun güvenlik önlemlerine sahip olduğunuzdan emin olun” dedi.

Henderson, Huntress’in ScreenConnect’in iki şekilde kötü niyetli kullanıldığını gördüğünü söyledi. İlki, saldırganın ScreenConnect’in deneme sürümünü edindiği ve bunu uzaktan erişim aracı olarak kullandığı deneme amaçlı suiistimali içeriyor. Diğer yol ise, saldırganların ScreenConnect’in mevcut uygulamasını ele geçirip bunu uzaktan erişim aracı olarak kullandıkları örnek uzlaşmasıdır.

“Saldırı zincirinin bir parçası olarak uzaktan erişim denemelerinin kötüye kullanılması sağlık sektörüne özgü değil. Bu tür faaliyetleri koruduğumuz her sektörde gördük” dedi.

Henderson, uzaktan izleme ve yönetim yazılımının popüler bir saldırı vektörü olduğunu, çünkü çoğu zaman yasal olarak kullanıldığını, yani saldırıların genellikle güvenlik araçları tarafından gözden kaçtığı anlamına geldiğini söyledi.

Bu noktada Huntress, Outcomes’un ScreenConnect’iyle ilgili diğer potansiyel risklerin boyutunu bilmiyor. Henderson, “Bu durumun Outcome’un müşterileri ve kullanıcıları üzerinde doğrudan yaratmış olabileceği etkilerin farkında değiliz, çünkü onların dahili olay müdahalesine dahil olmadık. Gözlemlerimiz müşterilerimizin sistemlerinden geliyor” dedi.

Saldırı Ayrıntıları

Huntress, 28 Ekim ile 8 Kasım 2023 tarihleri ​​arasında bilinmeyen bir tehdit aktörünün, kurban kuruluşlara ilk erişim için Outcomes tarafından kullanılan yerel olarak barındırılan ScreenConnect örneğini “kötüye kullandığını” tespit etti.

HHS HC3, uyarısında şunları söyledi: “İlk erişimden sonra, saldırgan, ortama kalıcı erişim sağlamak için ScreenConnect veya AnyDesk örnekleri gibi ek uzaktan erişim araçları kurmak da dahil olmak üzere birkaç adım attı.”

Huntress, raporunda, iki farklı sağlık kuruluşundan (her ikisi de Sonuçları kullanan bir ilaç firması ve bir tıbbi bakım sağlayıcısı) uç noktalara yönelik saldırılar tespit ettiğini ve saldırıların tırmanmasına hazırlanmak için ağ keşiflerine işaret eden aktivite tespit ettiğini söyledi.

HHS uyarısında, “Saldırılar, test.xml adlı bir veri yükünün indirilmesi de dahil olmak üzere benzer taktikler, teknikler ve prosedürler içeriyordu; bu da gözlemlenen tüm olayların arkasında aynı aktörün olduğunu gösteriyor.” dedi.

HHS, “Uzaktan erişim aracı daha sonra ek yükler yüklemek, komutları yürütmek, dosyaları aktarmak ve AnyDesk’i kurmak için kullanıldı. Bilgisayar korsanları ayrıca kalıcı erişim için yeni bir kullanıcı hesabı oluşturmaya çalıştı” dedi.

HHS uyarısında, Outcomes’un bir ihlale maruz kalıp kalmadığı, hesaplarından birine ait kimlik bilgilerinin ele geçirilip geçirilmediği veya saldırganların farklı bir mekanizmayı istismar edip etmediği hala belirsiz.

HHS, ScreenConnect satıcısı ConnectWise’ın 14 Kasım’da, tehdit aktörünün 2019’dan bu yana güncellenmeyen, yönetilmeyen bir şirket içi kurulum aracılığıyla erişim elde ettiğini doğruladığını söyledi.

Ne ConnectWise ne de Outcomes, ISMG’nin yorum taleplerine hemen yanıt verdi.

Huntress şu ana kadar saldırılardan sorumlu bilgisayar korsanlarını tespit edemedi.

Henderson, ISMG’ye “Bu vakanın arkasında hangi tehdit grubunun olduğunu doğrulayamadık; ancak en azından CUBA Ransomware grubunun o dönemde benzer TTP’ler sergilediğini gözlemledik” dedi.

“Bu bize bu saldırıyı kimin gerçekleştirdiğini söylemese de, en azından grupların bu tür saldırıları gerçekleştirmek için gereken ticari araçların farkında olduklarını ve bu ticari araçları geniş ölçekte konuşlandırdıklarını gösteriyor” dedi.

Henderson, “Sağlık hizmetlerine yönelik bu saldırılardan bahsederken, büyük resimde bunun çoğunlukla bu bilgisayar korsanlarının parasıyla ilgili olduğu görülüyor. Genellikle bu saldırılarda gasp veya fidye yoluyla mali kazanç elde ediyorlar” dedi. “Kişisel sağlık bilgilerini ele geçirebilseler de bu genellikle baskıyı artırma stratejilerinin bir parçası.”

Bu İstismara Karşı Savunma

HHS, ScreenConnect olayında ele geçirilen uç noktaların Windows Server 2019 sisteminin yönetilmeyen bir örneğinde çalıştırılması nedeniyle yazılımı kullanan kuruluşların altyapılarını korumak için uyumlu adımlar atması gerektiği konusunda uyardı.

HHS, “Bu, en azından, potansiyel tehdit aktörlerinin saldırılarını azaltmak için gelişmiş uç nokta izlemeyi, sağlam siber güvenlik çerçevelerini ve proaktif tehdit avcılığını kullanmayı içeriyor” dedi.

Henderson, Huntress’in birçok sektörde tespit ettiği ScreenConnect uzlaşmalarının genellikle ortak özelliklere sahip olduğunu söyledi. “Gördüğümüz ScreenConnect uzlaşmalarının çoğu sosyal mühendislikten başlıyor” dedi. “Çalışanların bir sosyal mühendislik saldırısı hakkında sık sık hatırlatma yapması gerekiyor: beklenmedik bir aciliyet hissi, korku, parasal ödül vaadi veya gözdağı” dedi.

“Savunmalarınızı, hem bu teknolojilerin kurulumunu hem de ilk uzlaşmanın ardından gerçekleştirilen takip eylemlerini tespit edebilen tespit yetenekleriyle katmanlandırmak önemlidir” diye ekledi.

“Ortamınızda ScreenConnect’i kullanmıyorsanız kurulumunu engelleyin. Ancak bu tespit yetenekleri büyük ölçüde doğru sistem ve yazılım envanterlerinden oluşan sağlam bir temele bağlıdır. Ağınızda ne olduğuna ve ne çalıştırdığına cevap veremiyorsanız oradan başlayın. Neyi savunmanız gerektiğini bilmediğiniz sürece savunmaları katmanlandıramazsınız.”

Güvenlik firması Syxsense’in CEO’su Ashley Leonard, ScreenConnect uzlaşmasına ilişkin benzer bir değerlendirme yaptı. “İlk erişim vektörü, ScreenConnect’in yerel bir sürümünü barındıran, yönetilmeyen, yama yapılmamış, şirket içi bir sunucuydu” dedi.

“Maalesef BT ve güvenlik toplulukları, iş istasyonları, sunucular, uygulamalar vb. gibi varlıkların aktif yönetimine duyulan ihtiyacı yinelese de, bu durum kuruluşlar için zor olmaya devam ediyor.

Leonard, “Daha fazla dağıtılmış BT ortamları ve uzaktan iş gücüyle varlıkların kolayca unutulabileceğini söyledi. Sağlık ekosistemindeki kuruluşların yanı sıra diğer sektörlerin de envanter ve varlık yönetimine daha yakından bakması gerektiğini ekledi.