入侵美国大型医疗机构细节揭密 “心脏流血”惹的祸!
作者: 日期:2014年08月22日 阅:3,263

编者按:本周二,美国一家大型医疗联合机构“社区卫生系统”(CHS)声称,中国境内的黑客侵入其计算机系统,并盗走450万病人数据。调查方并未透露入侵细节。(中国境内黑客盗走450万美国医疗患者数据)安全牛编辑通过跟踪这两天国外的网上消息,为大家揭露这起事件的入侵手法。还记得上周安全牛发布的文章《还有多少隐藏的心脏滴血等待爆发》吗?都是心脏滴血惹的祸!

1

负责调查此起入侵事的安全公司Mandiant认为,该起攻击事件是由中国一组从事“高级持续性威胁”(APT)的黑客所做。另一家信息安全企业TrustedSec则得到内部消息,此起事件初始的入侵手段借用了OpenSSL中的“心脏滴血”漏洞进入系统,最终导致了患者信息的被盗。

TrustedSec在其官方博客中写到:“参与事件调查的内部人士透露,黑客是通过心脏滴血这一漏洞实现初始入侵的。这一漏洞可以让入侵者从CHS的一台Juniper网关设备的内存中收集用户证书,然后再使用这些证书通过VPN登录系统。”

尽管参与调查的Mandiant并未确认(但也未否认)这一内幕消息,但可以通过一些细节推断这一消息的真实性。

今年4月8日,FireEye(TrustedSec的母公司)的发言人就披露过一起攻击事件。该起事件的受害方是一家美国机构。而本周提交给美国证券交易委员会的文档中显示,CHS正是在4月份被黑客使用“高度复杂的恶意软件和技术”入侵的。时间和描述完全匹配这两起攻击事件。

Mandiant在4月披露该起入侵事件时表示,在黑客连接到VPN上之后便试图提升账号权限,这也与内幕消息的描述匹配。下面是具体细节:

1. 一个恶意IP地址触发了受害机构入侵检测设备成千上万的警告,该地址利用心脏滴血漏洞来登录被入侵机构的VPN。

2. VPN登录日志显示,用户连接使用的IP地址在恶意地址和用户原始之间不停的迅速“转换”,这种“转换”在不同的登录期间均延续了数小时。

3. IP地址转换的时间戳常常在1到2秒内。

4. 合法访问VPN的IP地址与恶意IP地址的地理位置相距甚远,并分属不同的服务商。

5. VPN登录日志异常的时间戳可能与入侵检测设备对心脏滴血漏洞的警告有关。

此外,CHS所使用的VPN设备同样也是Juniper公司的。退一步来说,两起事件即便是巧合的话,心脏滴血这一漏洞的指认也是不可否定的。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章