Avustralya Bilgi Komiseri tarafından hazırlanan sert bir rapor, yanlış yapılandırmaların ve kaçırılan uyarıların, bir bilgisayar korsanının Medibank’a sızmasına ve 9 milyondan fazla kişiden veri çalmasına nasıl olanak sağladığını ayrıntılarıyla anlatıyor.
Ekim 2022’de Avustralyalı sağlık sigortası sağlayıcısı Medibank, şirketin faaliyetlerini kesintiye uğratan bir siber saldırıya uğradığını açıkladı.
Bir hafta sonra şirket, tehdit aktörlerinin müşterilerinin tüm kişisel verilerini ve çok sayıda sağlık talebi verilerini çaldığını ve bunun 9,7 milyon kişiyi etkileyen bir veri ihlaline neden olduğunu doğruladı.
Saldırıdan elde edilen veriler daha sonra BlogXX olarak bilinen ve kapatılan REvil fidye yazılımı çetesinin bir kolu olduğuna inanılan bir fidye yazılımı çetesi tarafından sızdırıldı.
Saldırı sonuçta Avustralya, İngiltere ve ABD tarafından yaptırım uygulanan Aleksandr Gennadievich Ermakov adlı bir Rus vatandaşıyla bağlantılıydı.
OAIC’in bulguları
Avustralya Bilgi Komiserliği Ofisi (OAIC) tarafından yayınlanan yeni bir raporda, ajansın soruşturması, önemli operasyonel başarısızlıkların bilgisayar korsanının Medibank ağını ihlal etmesine izin verdiğini belirledi.
“Komisyon Üyesi, Mart 2021’den Ekim 2022’ye kadar Medibank’ın, kişisel bilgilerinin kötüye kullanımdan, yetkisiz erişimden veya bu Sözleşmeyi ihlal edecek şekilde ifşa edilmekten korunmasına yönelik makul adımları atmayarak 9,7 milyon Avustralyalının mahremiyetine ciddi şekilde müdahale ettiğini iddia ediyor. Gizlilik Yasası 1988,” OAIC’in basın açıklamasında yer alıyor.
Rapora göre her şey, bir Medibank yüklenicisinin (BT Hizmet Masası Operatörü) kişisel tarayıcı profilini iş bilgisayarında kullanması ve Medibank kimlik bilgilerini tarayıcıya kaydetmesiyle başladı.
Bu kimlik bilgileri daha sonra bilgi çalan kötü amaçlı yazılımların bulaştığı ev bilgisayarıyla senkronize edildi ve tehdit aktörlerinin 7 Ağustos 2022’de tarayıcısında kayıtlı tüm şifreleri çalmasına olanak tanıdı. Bu kimlik bilgileri hem standart hem de yükseltilmiş erişime erişim sağladı. Medibank’ta (yönetici) hesabı.
“İlgili Dönem boyunca, Yönetici Hesabı, ağ sürücüleri, yönetim konsolları ve atlama kutusu sunucularına (belirli Medibank dizinlerine ve veritabanlarına erişmek için kullanılan) uzak masaüstü erişimi dahil olmak üzere Medibank’ın sistemlerinin çoğuna (hepsi olmasa da) erişime sahipti.” OAIC raporu.
Medibank ihlalinin arkasındaki saldırganın, çalınan kimlik bilgilerini çevrimiçi bir karanlık ağ siber suç pazarından mı satın aldığı yoksa bilgi çalmak için kötü amaçlı yazılım kampanyasını mı yürüttüğü belli değil.
Ancak tehdit aktörü, 12 Ağustos’ta bu kimlik bilgilerini ilk olarak şirketin Microsoft Exchange sunucusuna sızmak ve daha sonra Medibank’ın Palo Alto Networks Küresel Koruma Sanal Özel Ağı (VPN) uygulamasına giriş yapmak ve kurumsal ağa dahili erişim sağlamak için kullanmaya başladı.
Raporda, Medibank’ın VPN kimlik bilgileri üzerinde çok faktörlü kimlik doğrulamayı zorunlu kılmadığı ve kimlik bilgilerine erişimi olan herkesin cihazda oturum açmasına izin verdiği için kullanıcıların verilerini korumada başarısız olduğu belirtiliyor.
“Tehdit aktörü, yalnızca Medibank Kimlik Bilgilerini kullanarak Medibank’ın Global Koruma VPN’inde kimlik doğrulaması yapabildi ve oturum açabildi çünkü İlgili Dönem boyunca Medibank’ın Global Koruma VPN’sine erişim iki veya daha fazla kimlik kanıtı ya da çok faktörlü kimlik doğrulama (MFA) gerektirmiyordu. Bunun yerine, Medibank’ın Global Koruma VPN’i yalnızca bir cihaz sertifikası veya kullanıcı adı ve şifre (Medibank Kimlik Bilgileri gibi) gerekli olacak şekilde yapılandırılmıştır” diye devam etti rapor.
Tehdit aktörü, iç ağa olan bu erişimi kullanarak sistemler üzerinden yayılmaya başladı ve 25 Ağustos ile 13 Ekim 2022 tarihleri arasında şirketin MARS Veritabanı ve MPLFiler sistemlerinden 520 GB veri çaldı.
Bu veriler müşterilerin adlarını, doğum tarihlerini, adreslerini, telefon numaralarını, e-posta adreslerini, Medicare numaralarını, pasaport numaralarını, sağlıkla ilgili bilgileri ve talep verilerini (hasta adları, sağlayıcı adları, birincil/ikincil teşhis ve prosedür kodları, ve tedavi tarihleri.
Daha da kötüsü rapor, şirketin EDR yazılımının 24 ve 25 Ağustos’ta uygun şekilde önceliklendirilmeyen şüpheli davranışlara ilişkin uyarılar verdiğini iddia ediyor.
Medibank’ın bir Microsoft Exchange ProxyNotShell olayını araştırması için bir tehdit istihbarat firmasını görevlendirdiği Ekim ayının ortasında, verilerin daha önce siber saldırıda çalındığını keşfettiler.
Kimlik bilgilerini MFA ile koruma
Bilgi çalan kötü amaçlı yazılımlar ve veri ihlalleri nedeniyle milyarlarca kimlik bilgilerinin çalınması, çok faktörlü kimlik doğrulama gibi ek savunmalar olmadan savunulması zor olan devasa bir saldırı yüzeyi oluşturur.
Tüm kuruluşlar, kurumsal kimlik bilgilerinin bir şekilde açığa çıktığı varsayımıyla faaliyet göstermelidir ve bu nedenle MFA’nın kullanılması, tehdit aktörlerinin bir ağı ihlal etmesini çok daha zorlaştıran ek bir savunma sağlar.
Bu, özellikle uzaktaki çalışanların kurumsal ağlarda oturum açmasına olanak sağlamak üzere internette herkese açık olarak kullanılmak üzere tasarlanmış VPN ağ geçitleri için geçerlidir.
Ancak bu aynı zamanda fidye yazılımı çeteleri ve diğer tehdit aktörleri tarafından ağları ihlal etmek amacıyla yaygın olarak hedeflenen bir saldırı yüzeyi sağlar ve bu nedenle MFA gibi ek savunmalarla korunması gerekir.