2014年1月26日,美国第二大健康保险公司Anthem的一名系统管理员发现他们的账号被人盗用,被用于访问了内部数据库中的敏感数据。对Anthem的网络攻击被认为是至今健康保险行业最大的一次数据泄露事件,超过8000万投保人的记录遭到窃取。赛门铁克发布了研究报告(PDF),称攻击Anthem的黑客组织是Black Vine,该组织可能与中国IT安全公司天融信(Topsec)有联系。Black Vine至少从2012年开始展开网络间谍行动,采用的方法是利用0day漏洞发动水坑攻击和钓鱼攻击,在受害者电脑植入后门程序窃取数据。Black Vine的主要目标是能源、航空航天和健康保险行业,82%的攻击目标是美国公司。Black Vine使用了一个恶意程序家族的三个变种:Hurix、Sakurel和 Mivast,它们都出自相同的开发者之手——举例来说,Hurix和Sakure使用了相同的变量参数,Hurix的cookie=iztkctcebtgbbyf-2135928347中,cookie是参数, iztkctcebtgbbyf是加密的计算机名,-2135928347是硬盘序列号;Sakurel的imageid=iztkctcebtgbbyf-2135928347中,imageid是参数,iztkctcebtgbbyf是加密的计算机名,-2135928347是硬盘序列。恶意程序使用的C&C服务器被发现与天融信有关:恶意程序样本硬编码了一个域名sharepoint-vaeit.com,该域名使用的IP地址192.199.254.126在同一时间段内被天融信的topsec2014.com所使用。感兴趣的可浏览这篇文章的分析。
via Solidot
没有评论:
发表评论