İhlal Bildirimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Departman, Saldırganların 3. Taraf Satıcılar Aracılığıyla HHS Verilerine Eriştiğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
30 Haziran 2023
ABD Sağlık ve İnsani Hizmetler Departmanı, Kongre’ye, yönetilen bir dosya aktarım yazılımı ürünü olan MOVEit’teki bir kusurun genişletilmesiyle ilgili olarak HHS yüklenicilerinde gerçekleşen bilgisayar korsanlığı olaylarında en az 100.000 kişinin bilgilerinin ele geçirildiğini bildirdi.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Bir HHS yetkilisi Information Security Media Group’a verdiği demeçte, bakanlığın Salı günü olay hakkında Kongre’yi bilgilendirdiğini söyledi. Yetkili, hiçbir HHS sisteminin veya ağının güvenliğinin ihlal edilmediğini ancak saldırganların üçüncü taraf satıcılar tarafından kullanılan MOVEit yazılımındaki güvenlik açığından yararlanarak HHS verilerine erişim elde ettiğini söyledi.
Yetkili, HHS’nin olaya yanıt vermek için “tüm uygun önlemleri” aldığını söyledi. Yetkili ayrıca, Federal Bilgi Güvenliği Modernizasyon Yasası uyarınca, konuyla ilgili soruşturma devam ederken HHS’nin Kongre’ye ek bilgi sağlayacağını söyledi.
Federal kurumların, 100.000 veya daha fazla kişinin kişisel olarak tanımlanabilir bilgilerini tehlikeye atan “önemli olayları” belirledikten sonra yedi gün içinde Kongre’yi bilgilendirmesi gerekmektedir.
Perşembe günü Bloomberg, HHS bildirimini Kongre’ye bildiren ilk kişi oldu.
HHS, Information Security Media Group’un etkilenen tahmini toplam insan sayısı da dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
HHS, Clop fidye yazılımı grubu tarafından aylardır aktif olarak kullanılan MOVEit güvenlik açığıyla ilgili büyük ihlaller bildiren ABD federal hükümet kuruluşlarının sayısı giderek artan bir listeden biridir. Enerji ve Tarım daireleri ile Personel Daire Başkanlığı da etkilendi. Clop ayrıca Maryland’in Sağlık ve İnsani Hizmetler Departmanı ve Minnesota ve New York City’nin eğitim departmanları dahil olmak üzere devlet kurumlarını da vurdu.
Haziran ayında Kanada’da Nova Scotia Health’in 100.000 çalışanının kişisel bilgilerini etkileyen bir bilgisayar korsanlığı olayı da dahil olmak üzere kampanyadan etkilenen sağlık sektörü kuruluşları (bkz:: Nova Scotia Health, MOVEit Hack’ten Etkilenen 100.000 Kişinin Olduğunu Söyledi).
Yakın zamanda Clop’un veri sızıntısı sitesinde adı geçen diğer kurbanlar arasında sağlık yazılımı şirketi Vitality Group International, Talcott Resolution Life Insurance Co. ve Georgia, Johns Hopkins, Missouri, Rochester ve Southern Illinois üniversiteleri yer alıyor.
HHS, 2 Haziran’da sağlık ve halk sağlığı sektörü için potansiyel MOVEit uzlaşmalarını içeren tehditler konusunda uyarıda bulunan bir uyarı yayınladı.
HHS’nin Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, “Bu güvenlik açığından yararlanılırsa tıbbi kayıtlar, banka kayıtları, Sosyal Güvenlik numaraları ve adresleri gibi hassas bilgiler risk altındadır” uyarısında bulundu. HHS HC3, “Hedeflenen kuruluş, mali amaçlı tehdit grupları tarafından gasp edilebilir” diye yazdı.
Bilgisayar korsanlığı kampanyası, Rusça konuşan siber suç grubu Clop’un 27 ve 28 Mayıs tarihlerinde MOVEit’te önceden bilinmeyen bir güvenlik açığını hedeflemeye başlamasının ardından gün ışığına çıktı.
MOVEit’in geliştiricisi Progress Software, 31 Mayıs’ta CVE-2023-34362 olarak adlandırılan SQL enjeksiyon kusurunu belirledi ve yamaladı. Kısa bir süre sonra şirket, saldırganların sahip olmadığı anlaşılan iki sıfır gün güvenlik açığını daha belirleyip yamaladı sömürülen.
Emsisoft’ta tehdit analisti olan Brett Callow, şu ana kadar tahminen 150 mağdur kuruluştan yalnızca 11’i etkilenen bireylerin sayısını belirten bildirimler yayınladı. tweet attı perşembe (bkz: Clop’un MOVEit Kampanyası 16 Milyondan Fazla Kişiyi Etkiledi).
Clop, gramer açısından bozuk bir İngilizceyle, kampanyanın bir parçası olarak yaklaşık 30 devlet kurumundan veya yüklenicinden çaldığı tüm verileri, görünüşe göre kendisini bir ulusal güvenlik hedefi haline getirmemeye çalışmak için tamamen sildiğini iddia ediyor. Grup, veri sızıntısı sitesinde “Biz sadece finansal olarak motive oluyoruz ve siyasetle ilgili hiçbir şeyi umursamıyoruz” diyor.
FBI ve CISA, saldırıları araştırmaya ve kurbanlara yardım etmeye devam ediyor. FBI, Clop kampanyasından etkilenen tüm kuruluşları, henüz yapmamışlarsa büroyu uyarmaya çağırdı.