Исследователи в области безопасности проследили хищение данных о клиентах от медицинских систем передачи и обработки данных Гимна страховой компании до преподавателя в китайском университете со связями с оборонным подрядчиком.Новый анализ аналитики с открытым исходным кодом нарушения медицинского Гимна страховой компании укрепил теории, что хищение данных возвращается к китайской шпионской программе, фирма безопасности, которую ThreatConnect указал 27 февраля.
В отчете, который основывается на общедоступных источниках или аналитике «с открытым исходным кодом», исследователи в области безопасности в ThreatConnect и других компаниях нашли техническое доказательство, которое соединило вредоносное программное обеспечение, по сообщениям привыкшее в нападении Гимна к китайской шпионской группе и преподавателю в Юго-восточном университете, который работает с государственным подрядчиком, Beijing Topsec Technology Co.Множество включающих доказательство адресов электронной почты, домены, зарегистрированные для серверов командования и управления и сертификата раньше, подписывало ведомый к вредоносному программному обеспечению назад трио деятелей, сказал Рич Барджер, главный офицер разведки для ThreatConnect, eWEEK.
«Все это доказательство, от технического аспекта, указало назад на Китай многочисленными способами несмотря на максимальные усилия деятелей покрыть их источники», сказал Барджер. «Они приложили усилие для сокрытия, но они испортили».Анализ является последней попыткой получить сведения о крупном нарушении Гимна, самой многочисленной страховой компании здравоохранения 37 компаний, которые составляют Ассоциацию Blue Cross Blue Shield. В начале февраля компания, раньше известная как Wellpoint, объявила, что атакующие, возможно, получили доступ к соотносимой с личностью информации больше чем на 80 миллионах пациентов, включая имена, даты рождения, Номера социального страхования, идентификационные номера здравоохранения, домашние адреса, адреса электронной почты и информацию о занятости. Информация других членов Blue Cross Blue Shield, которых рассматривали в регионах, обслуживаемых Гимном, возможно, также поставилась под угрозу.
Киберпреступники обычно пытаются продать такие данные, но до сих пор, существует мало доказательства, что информация была продана, согласно анализу ThreatConnect.Анализ соединил шпионское вредоносное программное обеспечение, известное как Derusbi, связанный с китайскими шпионскими группами, и подписался с действительной подписью DETOPTOOLZ, корейской фирмы программного обеспечения.
Подпись DTOPTOOLZ была замечена в сочетании с Derusbi, Sakula и вредоносными семьями HttpBrowser/HttpDump. Все они соединяются с китайскими группами усовершенствованной постоянной угрозы (APT), согласно анализу ThreatConnect. Один случай вредоносного программного обеспечения, добавленного к платформе аналитики ThreatConnect, соединил Sakula с серверами командования и управления с помощью доменов we11point.com, где «ll» был заменен номером 11.Другие подобные нападения соединили доменного владельца с адресом электронной почты, подключенным к соревнованиям информационной безопасности, проведенным Юго-восточным университетом-Topsec Информационная безопасность и Мобильный Совместный научно-исследовательский центр интернет-технологии.
Американское уведомление Госдепартамента, пропущенное WikiLeaks в 2009, отметило, что Topsec получил значительные инвестиции от Народно-освободительной армии.В целом, доказательство формирует ясное изображение ложного наступления, разработанного для сбора информации относительно американских граждан, сказал Барджер.
Синий крест и Синяя Ассоциация Экрана служат один в трех американцам и 5,3 миллионам федеральных сотрудников, пенсионеров и их зависимым, которые могли указать повод для нападения.«Некоторые люди говорят, что приписывание твердо в кибер», сказал он. «Но отказ и обман [акт обмана защитников] в кибер еще более трудны».