Empfohlen, 2019

Tipp Der Redaktion

Premera, Anthem-Datenverstöße, die durch ähnliche Hacker-Taktiken verknüpft sind

Premera Blue Cross fälschte Englisch: www.mjfriendship.de/en/index.php?op...=view&id=167 Möglicherweise wurden sie mit den gleichen Methoden angegriffen wie ihr Krankenversicherer Anthem, was darauf hindeutet, dass eine einzelne Gruppe hinter beiden Verstößen stehen könnte.

Kundendaten, einschließlich Bankkonten und klinische Daten, die bis ins Jahr 2002 zurückreichen, könnten in den USA kompromittiert worden sein Attacken, die 11 Millionen Menschen betreffen, sagte Premera am Dienstag.

Es ist der größte Verstoß gegen die Gesundheitsbranche seit Anthem letzten Monat bekannt gab, dass mehr als 78,4 Millionen Datensätze in Gefahr waren, nachdem Hacker auf eine seiner Datenbanken zugegriffen hatten. Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Mehrere Computer-Sicherheitsunternehmen haben Daten veröffentlicht, die auf eine in China ansässige Gruppe namens Deep Panda als mögliche Quelle für Anthems Bruch hinweisen.

Aber Bekannt ist, dass die Anthem-Angreifer einen falschen Domainnamen namens "we11point.com" (basierend auf WellPoint, dem früheren Namen von Anthem) erstellt haben, der möglicherweise für Phishing-Angriffe verwendet wurde. Unternehmen versuchen solche verwirrenden Domainnamen zu entdecken - eine Praxis, die als Typosquatting bekannt ist - aber nicht immer erfolgreich ist.

Eine der Angriffsmethoden von Deep Panda besteht darin, gefälschte Websites zu erstellen, die Unternehmensdienste für Unternehmen imitieren. In Anthems Fall bauten die Angreifer mehrere Subdomains auf der Basis von "we11point.com" auf, die echte Dienste wie Human Resources, ein VPN und einen Citrix Server nachahmen sollten.

Indem sie Anthem-Mitarbeiter mit Phishing-E-Mails anlocken und anlocken Auf den gefälschten Websites konnten die Angreifer möglicherweise die Logins und Passwörter sammeln und schließlich auf die realen Systeme des Versicherers zugreifen.

ThreatConnect, ein Sicherheitsunternehmen mit Sitz in Arlington, Virginia, stellte fest, dass Premera offenbar ins Visier genommen wurde Der gleiche Angriffsstil.

Am 27. Februar schrieb ThreatConnect einen Blogbeitrag, in dem er seine Forschungen zu den Attacken der Hymne beschrieb. Im Zuge dieser Arbeit hat ThreatConnect einen verdächtigen Domainnamen gefunden - "prennera.com".

Am 11. Dezember 2013 wurde dieser Domainname auf die gleiche IP-Adresse wie ein von ThreatConnect erkanntes Malware-Sample aufgelöst. Noch interessanter ist, dass das Malware-Sample mit einem Zertifikat von DTOPTOOLZ Co. digital signiert wurde, das ein koreanisches Unternehmen zu sein scheint, das einmal Werbesoftware hergestellt hat.

Ein digitales Zertifikat wird verwendet, um zu verifizieren, dass ein Softwareprogramm stammt der Entwickler, von dem er vorgibt, zu kommen. Aber die Zertifikate werden gelegentlich gestohlen. Sie sind besonders nützlich für Hacker, da ein Malware-Programm zumindest auf den ersten Blick als legitim erscheinen kann.

Im September 2014 fand die Computer-Sicherheitsfirma CrowdStrike ein Remote-Access-Tool namens Derusbi, das häufig von Deep Panda verwendet wurde . Die Probe wurde auch mit einem digitalen Zertifikat der DTOPTOOLZ Co. unterzeichnet.

In einem anderen Beispiel hat ThreatConnect letztes Jahr eine gefälschte Domain gefunden, die die Rüstungsfirma VAE mit Sitz in Reston, Virginia, zu imitieren scheint. Zwei Malware-Programme - Derusbi und ein anderer Typ namens Sakula - wurden mit der gefälschten VAE-Domäne verknüpft und erneut mit dem Zertifikat von DTOPTOOLZ Co. signiert.

Es könnte sein, dass das koreanische Unternehmen nicht genug getan hat, um seine digitalen Zertifikate zu verhindern von gestohlen werden, und dass es von mehreren Hacker-Gruppen gestohlen wurde, die es dann in mehreren, nicht verwandten Angriffen verwendet haben. Wenn nicht, wäre das ein starker Hinweis darauf, dass eine einzelne Gruppe beteiligt ist.

Hymne und Strafverfolgungsbehörden müssen noch sagen, wen sie für verantwortlich halten, und die Untersuchung von Premera befindet sich in einem frühen Stadium. Wenn ein Angreifer benannt wird, könnte dies weiteren Druck auf die US-Regierung ausüben, die immer weniger Toleranz für staatlich geförderte Angriffe zeigt.

Im Dezember beschuldigte die US-Regierung Nordkorea für die verheerende Datenpanne gegen Sony Pictures Entertainment, eines der ersten Male, dass die Regierung so schnell und so direkt einen einzigen Angriff zugeschrieben hat. Die veröffentlichten Dokumente enthielten Gehaltsangaben, interne E-Mail- und HR-Dokumente für Mitarbeiter. Anderer bösartiger Code hat die Festplatten von Sony-Computern zerstört.

Im Mai 2014 erhoben US-Bundesstaatsanwälte Anklage gegen fünf Mitglieder der chinesischen Armee, die Geschäftsgeheimnisse von US-amerikanischen Organisationen über acht Jahre hinweg gestohlen hatten. China hat, wie üblich, die Vorwürfe bestritten.

Top