新加坡新保集团(SingHealth)网络攻击事件的可疑线索分析

近期,安全公司 Trustwave 旗下 SpiderLabs 实验室发现了可能与新加坡新保集团(SingHealth)网络攻击相关的一些信息线索,在前一篇文章中,他们以威胁情报视角分析了新保集团的整个网络攻击事件。此次攻击导致了约150万患者的病历记录和16万人的门诊记录泄露,这些记录中中包含了大量的个人信息,如姓名、地址、生日、性别、种族和身份证号码 (NRIC) 等。

据官方调查发现,攻击发生的持续时间为2018年6月27日至7月4日期间。但根据SpiderLabs的分析表明,攻击者至少在早于该时间段的数周前,就已经在新保集团内网中开始了前期踩点侦察和访问据点建立,攻击者的这些行为最早可以追溯到2018年6月9日。以下是SpiderLabs的分析:

在新保集团数据泄露事件发生后,我们立即展开了一些相关研究分析,最终发现了一些可能与此次网络攻击相关的其他证据片段。我们的 SpiderLabs 团队发现了在两个不同时间点上传的两篇单独的 Pastebin 帖子,该两篇Pastebin帖子包含的信息,是一些对新保集团的数据库访问操作,其中一篇帖子罗列了Java服务器相关的异常日志,而另一篇帖子则为一些SQL查询操作。为此,基于两个时间节点,我们展开来分析所发现的线索。

2018年5月24日

2018年5月24日,一条Java异常跟踪日志被发布到了 Pastebin 上,这篇特殊的帖子表明了一些踪迹。其中涉及的查询操作看似是为了获取新保集团总部(SHHQ)的数据库访问授权,如下图所示:

攻击者曾尝试把数据库访问权限,以新加坡卫生服务医疗技术办公室(Medical Technology Office of Singapore Health Services)的一名高级经理的身份,委托给新加坡大型IT承包商CTC的一名员工:

而经我们分析发现,这名我们认为的CTC承包商员工,其名字与LinkedIn上的某位IT分析师匹配,真实情况是,他本身是一名CTC分包商员工。很有可能是,攻击者通过入侵控制了该名员工的CTC工作账号,想利用该账号深入渗透进入新保集团总部(SHHQ)数据库。

具体的数据库委托请求操作发生在6月9日至6月17日之间,为了保护该名员工的隐私,我们特意对LinkedIn图片作了模糊处理。

可以在请求日志中看到,卫生服务医疗技术办公室的高级经理和CTC分包商员工双方的联系号码都是伪造的 “97865432”,这只是用来倒数的一串数字,攻击者目的可能出于规避简单的伪造字段过滤。

在该篇 Pastebin 帖子中,其异常请求日志的其它部分表明,攻击者正在尝试访问的目标是名为 “portaldev” 的数据库,注意其名字是portal+dev,可以想象,开发环境服务器没有生产环境服务器的保护措施严密,因此更容易成为攻击入侵目标。最后,还可以从中看到,该日志中抛出的错误表明,其 “delegatorID” 被设置为了NULL 。尽管日志中列出了大量语句参数,但这是唯一的一个运行错误,这也间接表明了攻击者的老练和高深。如果这是他们遇到的唯一错误,对他们而言,这个问题也非常容易解决。

以下是该篇 Pastebin 帖子中,请求日志涉及的其它完整语句参数:

经查询分析,目前该篇 Pastebin 帖子已经被上传者删除,可以点此( webcache)查看其谷歌快照。

2018年6月15日

另外,SpiderLabs 团队还发现了一篇 6 月 15 日上传的 Pastebin 帖子,其中包含了一些新保集团数据库相关的SQL查询信息,这个帖子上传日期在两个关键时间点-6月9日至6月17日中间。以下就是这篇帖子中涉及的一些SQL查询语句,其中明显包含了SingHealth、NHG等关键线索:

从上图可以看出,攻击者的探测查询不仅涉及新保集团,还涉及新加坡国家医疗保健集团NHG。还能从上述查询语句中看到,攻击者正尝试排除查询结果中与 “牙科手术”相关的返回记录,且特定了这些记录须满足"Direct Access" 和 "Direct Admit" 权限,用到的两条相关查询语句分别是:

WHERE `Sub-Specialty` <> "Dental Surgery" `Ref. Type`IN ("Direct Access P", "Direct Admit P")

这种特定的数据库查询,所能获得的敏感信息比从牙科患者自身上所能获取的还多,查询执行结果最终限定了一定范围,这可能是为了把高价值目标患者进行区分的操作。

此外,查询部分中引用的类别类型为:"Class IN ("A", "AP", "ARF", "B1", "B1P", "B1RF", "B2RF", "CRF", "NR", "PTE", "PTEP", "PTRF")" ,这些都是有效的医疗类别类型。以上的两个查询将“个人”病患类别和 “政府补贴” 病患类别作了区分,这可能是为了进一步关注潜在的高价值目标病患记录。

最终,我们发现攻击者为了隐藏痕迹,已经删除了这篇数据库查询的 Pastebin 帖子,谷歌快照也不存在相关缓存内容,只在Pastebin上存有内容不可见的记录:

可以说,这种包含错误日志和查询的 Pastebin 帖子,很多时候可能是开发人员之间为了排除故障而进行的相互共享,所以,基于此种原因,我们不能确定到底是谁上传了这些内容到Pastebin,也不清楚其实际意图。但是,有三种可能的情况:

第一,攻击者自己上传了这篇查询帖子,方便与合作者共享代码进行故障排除; 第二,某位内部开发人员发现了数据泄露情况,并在系统中发现了异常日志,因此把它上传到Pastebin进行分享,以进行故障排除; 第三种场景是,可能与攻击毫无关联,仅只是某位内部开发人员为了进行故障排除而上传到Pastebin的。如果是这种情况的话,还是有些意思的,如果攻击者正尝试突破入侵新保集团(SingHealth) 或新加坡国家医疗保健集团(NHG)的话,发现这篇Pastebin帖子会是一个很好的信息宝藏。

总结

因此,虽然我们不能确定这些发现是否与新保集团(SingHealth)的数据泄露事件直接相关,但所有这些可疑线索组合都发生在攻击者的网络攻击时间窗口期。在官方声称发生数据泄露事件时,我们发现了至少两个月前的这两条的线索信息:

Java异常日志中表明,嫌疑人试图把新保集团(SingHealth)某个数据库访问权限委托授权给一名信息分包商员工; 在Pastebin上识别了已经被删除的,针对新保集团(SingHealth)某个数据库医疗数据的SQL查询。

单纯来看,这些线索可能多少有点不正常,但结合网络攻击的时间和结果,我们认为这些线索与新保集团(SingHealth)数据泄露事件相关。截至目前,虽然我们具备高度的怀疑指向,但还不具备足够的证据来支撑确认实际的幕后攻击组织,然而,我们仍然认为,他们不是简单的网络犯罪团伙,而是一个以情报收集为主要目的的国家支持型黑客组织。

*参考来源:spiderlabs ,clouds 编译,转载请注明来自 FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-08-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

揭秘:安卓木马是如何盗取用户手机银行的

手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是,随着手机银行涉及的金钱数额越来越大,攻击者...

53490
来自专栏FreeBuf

对“利比亚天蝎”网络间谍活动的分析调查(附样本下载)

利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 ? 概要 8月初...

24670
来自专栏信安之路

打造属于自己的 Wi-Fi “DOS” 攻击工具——Wi-Fi_deauther

一块不起眼的板子,可能在一些人眼中他就没有利用价值,而另一些人却看到了不一样的板子,当我们赋予了他新的生命力,他就会焕然一新,工具的价值取决于人,当你赋予了他什...

25020
来自专栏企鹅号快讯

各种NB的国外黑客网站

这次说说一些非常有价值的国外黑客网站大全! 有需要的可保存下来细细琢磨! 本公众号提供了图书馆及下载专区。该图书馆为初学者提供了黑客知识和计算机技术基础知识。下...

1.9K100
来自专栏FreeBuf

新型僵尸网络:Wonder Botnet深入分析

CSE CybSec Z-Lab恶意软件实验室在调查暗网恶意代码时发现了一个名为Wonder botnet的新僵尸网络,该恶意软件由Downloader和真正的...

28260
来自专栏我的安全视界观

【一起玩蛇】fortify漏洞的学习途径

静态代码扫描工具(系统)不少,比较出名的可能有fortify、coverity...无论是公司购买或是网上论坛捡到的破解版,相比不少人都已经尝过fortify的...

33340
来自专栏小白安全

内网渗透的一些工具和平台

渗透测试平台类: Metasploit,这个大家都不陌生了,集信息收集,预渗透,渗透,后渗透,木马,社会工程学于一体的平台,居家旅行,杀人越货之必备。SE...

84950
来自专栏FreeBuf

论如何高效的挖掘漏洞

作者 Black-Hole 现在光是一个Web前端就有很多的攻击手法。而大多数攻击手法都是基于"客户端"存在的。但是很少有人注意到,所以就有了本文。 想要去找...

21190
来自专栏安恒信息

本周关注病毒

Trojan.Agent.gdf(木马病毒) 警惕程度★★ 该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关...

28760
来自专栏程序员互动联盟

黑客利用Wi-Fi攻击你的七种方法

Wifi热点随处可见,我们好多人进入饭店,茶餐厅等第一句话就是:有没有wifi啊?我们知道公共wifi是非常容易受到攻击的。那么家用wifi呢?下面的文章介绍了...

40260

扫码关注云+社区

领取腾讯云代金券