Avustralya’nın gizlilik düzenleyici kurumu, bir tehdit aktörünün sigorta şirketinin sistemlerinden verileri çalmasından önce Medibank veya ortaklarının uç nokta tespit ve yanıt (EDR) aracından gelen uyarıları gözden kaçırdığını veya bunlara göre hareket etmediğini iddia etti.
Avustralya Bilgi Komiserliği Ofisi (OAIC) mahkeme belgelerini yayınladı [pdf] sigortacının bir borcu olduğunu iddia eden Harekete geçmek için, EDR uyarılarının oluşturulduğu andan verinin çalındığının netleştiği ana kadar altı haftalık bir süre.
OAIC, bu ayın başlarında sigorta şirketinin müşterilerin kişisel bilgilerini korumadığı iddiasıyla Medibank’a dava açtı.
Ofisin kısa iddia beyanı, bir BT hizmet masası yüklenicisinin yönetici kimlik bilgilerinin çalındığını ve ardından hassas bilgileri çalmadan önce Medibank’ın ağına girip haritasını çıkarmak için kötüye kullanıldığını gören olayların iddia edilen bir kronolojisini sunuyor.
OAIC’in iddia ettiği adli ayrıntılar Medibank’ın açıklamasının ötesine geçiyor [pdf] çalınan kimlik bilgilerinin Medibank ağına “yanlış yapılandırılmış bir güvenlik duvarı” aracılığıyla erişmek için kullanıldığı ve bu noktadan sonra saldırganın fark edilmeden kalabildiği ve yanal olarak genişleyebildiği belirtildi.
OAIC’in bu ayın başlarında sunduğu davayı desteklemek amacıyla düzenleyici kurum, Medibank’ın “etkili yüklenici güvencesi uygulamadığını” veya siber güvenlik açısından diğer “makul adımları” atmadığını savundu.
Bu kapsam alanları arasında güvenlik izleme, Medibank’ın VPN’sine uzaktan erişimin doğrulanması için MFA, “kullanıcıların sorumluluklarına” dayalı olarak veri muhafazalarına “erişimin kısıtlanması” ve tespit edilen “olaylara zamanında” yanıt verilmesine yönelik “süreçler” yer almaktadır.
OAIC, Avustralya’nın en büyük sağlık sigortacısını “Medibank’ın EDR (uç nokta tespit ve yanıt) güvenlik yazılımı tarafından oluşturulan tüm güvenlik uyarılarının birinci düzey incelemesini ve önceliklendirmesini yapmamakla” veya şüpheli sızıntıları tespit etmemekle suçladı. “hacimsel uyarıları yapılandırma”.
Yönetici kimlik bilgileri kişisel tarayıcı profiline kaydedildi
OAIC, 7 Ağustos 2022’den önce bir yüklenicinin yönetici hesabı da dahil olmak üzere kimlik bilgilerini iş bilgisayarındaki kişisel internet tarayıcı profiline kaydettiğini iddia etti.
Kimlik bilgileri daha sonra “çapraz olarak senkronize edildi” [their] OAIC, “kişisel bilgisayar”ın bu cihazdaki kötü amaçlı yazılım tarafından çalındığını iddia etti.
Yönetici hesabı “Medibank sistemlerinin (hepsi olmasa da) çoğuna” erişim izni verdi.
OAIC, saldırganın kimlik bilgilerini ilk olarak bir Microsoft Exchange sunucusunda denediğini ve ardından Medibank’ın VPN’inde çalıştığını tespit ettiğini iddia ediyor.
Saldırının başarılı olmasının bir nedeninin “çünkü… Medibank’ın Global Koruma VPN’i… iki veya daha fazla kimlik kanıtı ya da çok faktörlü kimlik doğrulama gerektirmemesi” olduğunu iddia etti.
“Bunun yerine, Medibank’ın Global Koruma VPN’i yalnızca bir cihaz sertifikası veya kullanıcı adı ve şifre (Medibank Kimlik Bilgileri gibi) gerekli olacak şekilde yapılandırılmıştır” iddiasında bulundu.
Medibank’ın EDR’si, saldırganın kararlılık kazanmasından yaklaşık iki hafta sonra “çeşitli uyarılar üretti”.
Ancak hangi nedenle olursa olsun OAIC, EDR uyarılarının dikkate alınmadığını iddia ediyor. Saldırgan daha sonra müşteri veritabanlarına erişti ve sonraki altı hafta içinde 520 GB veri çaldı.
OAIC, saldırı ve sızıntının ancak 11 Ekim’de ortaya çıkarıldığını iddia etti. Microsoft Exchange’de bulunan bir sıfır gün durumu olan “Medibank’ın Güvenlik Operasyonları ekibi, ProxyNotShell güvenlik açığından yararlanmak için gerekli dosyalarda değişiklik yapılması gerektiğini belirten bir uyarı için yüksek önem derecesine sahip bir olayı tetikledi”.
Birkaç gün sonra soruşturma başlatıldı dijital adli tıp ortağı Microsoft Tehdit İstihbarat Merkezi’nin (MSTIC) ortaya çıktığı iddia edildi “Medibank’ın ağından sızan bir dizi şüpheli miktarda veri”,
OAIC, Medibank’ın bu zamana kadar “müşteri verilerine bir tehdit aktörünün eriştiğinden ve sistemlerinden sızdırıldığından haberi olmadığını” iddia etti.
Bu Ocak, Microsoft ayrıca MSTIC’in Avustralya Sinyal Müdürlüğü’nün hackerın maskesini kaldırmasına yardımcı olmada “anahtar” bir rol oynadığını da açıkladı.
MSTIC, karmaşık saldırının arkasındaki kişiyi tespit etmek için kullanılan Avustralya Sinyal Müdürlüğü’ne bilgi sağladığını söyledi.