新加坡新保集團網路攻擊事件的可疑線索分析

據官方調查發現，攻擊發生的持續時間為2018年6月27日至7月4日期間。但根據SpiderLabs的分析表明，攻擊者至少在早於該時間段的數周前，就已經在新保集團內網中開始了前期踩點偵察和訪問據點建立，攻擊者的這些行為最早可以追溯到2018年6月9日。以下是SpiderLabs的分析：

在新保集團數據泄露事件發生後，我們立即展開了一些相關研究分析，最終發現了一些可能與此次網路攻擊相關的其他證據片段。我們的 SpiderLabs 團隊發現了在兩個不同時間點上傳的兩篇單獨的 Pastebin 帖子，該兩篇Pastebin帖子包含的信息，是一些對新保集團的資料庫訪問操作，其中一篇帖子羅列了Java伺服器相關的異常日誌，而另一篇帖子則為一些SQL查詢操作。為此，基於兩個時間節點，我們展開來分析所發現的線索。

2018年5月24日

2018年5月24日，一條Java異常跟蹤日誌被發布到了 Pastebin 上，這篇特殊的帖子表明了一些蹤跡。其中涉及的查詢操作看似是為了獲取新保集團總部（SHHQ）的資料庫訪問授權，如下圖所示：

攻擊者曾嘗試把資料庫訪問許可權，以新加坡衛生服務醫療技術辦公室（Medical Technology Office of Singapore Health Services）的一名高級經理的身份，委託給新加坡大型IT承包商CTC的一名員工：

而經我們分析發現，這名我們認為的CTC承包商員工，其名字與LinkedIn上的某位IT分析師匹配，真實情況是，他本身是一名CTC分包商員工。很有可能是，攻擊者通過入侵控制了該名員工的CTC工作賬號，想利用該賬號深入滲透進入新保集團總部（SHHQ）資料庫。

具體的資料庫委託請求操作發生在6月9日至6月17日之間，為了保護該名員工的隱私，我們特意對LinkedIn圖片作了模糊處理。

可以在請求日誌中看到，衛生服務醫療技術辦公室的高級經理和CTC分包商員工雙方的聯繫號碼都是偽造的 「97865432」，這只是用來倒數的一串數字，攻擊者目的可能出於規避簡單的偽造欄位過濾。

在該篇 Pastebin 帖子中，其異常請求日誌的其它部分表明，攻擊者正在嘗試訪問的目標是名為 「portaldev」 的資料庫，注意其名字是portal+dev，可以想像，開發環境伺服器沒有生產環境伺服器的保護措施嚴密，因此更容易成為攻擊入侵目標。最後，還可以從中看到，該日誌中拋出的錯誤表明，其 「delegatorID」 被設置為了NULL 。儘管日誌中列出了大量語句參數，但這是唯一的一個運行錯誤，這也間接表明了攻擊者的老練和高深。如果這是他們遇到的唯一錯誤，對他們而言，這個問題也非常容易解決。

以下是該篇 Pastebin 帖子中，請求日誌涉及的其它完整語句參數：

經查詢分析，目前該篇Pastebin帖子已經被上傳者刪除，可以點此（ webcache）查看其谷歌快照。

2018年6月15日

另外，SpiderLabs 團隊還發現了一篇6 月 15 日上傳的 Pastebin 帖子，其中包含了一些新保集團資料庫相關的SQL查詢信息，這個帖子上傳日期在兩個關鍵時間點-6月9日至6月17日中間。以下就是這篇帖子中涉及的一些SQL查詢語句，其中明顯包含了SingHealth、NHG等關鍵線索：

從上圖可以看出，攻擊者的探測查詢不僅涉及新保集團，還涉及新加坡國家醫療保健集團NHG。還能從上述查詢語句中看到，攻擊者正嘗試排除查詢結果中與 「牙科手術」相關的返回記錄，且特定了這些記錄須滿足"Direct Access" 和 "Direct Admit" 許可權，用到的兩條相關查詢語句分別是：

WHERE `Sub-Specialty` "Dental Surgery"

`Ref. Type`IN ("Direct Access P", "Direct Admit P")

這種特定的資料庫查詢，所能獲得的敏感信息比從牙科患者自身上所能獲取的還多，查詢執行結果最終限定了一定範圍，這可能是為了把高價值目標患者進行區分的操作。

此外，查詢部分中引用的類別類型為："Class IN ("A", "AP", "ARF", "B1", "B1P", "B1RF", "B2RF", "CRF", "NR", "PTE", "PTEP", "PTRF")" ，這些都是有效的醫療類別類型。以上的兩個查詢將「個人」病患類別和 「政府補貼」 病患類別作了區分，這可能是為了進一步關注潛在的高價值目標病患記錄。

最終，我們發現攻擊者為了隱藏痕迹，已經刪除了這篇資料庫查詢的 Pastebin 帖子，谷歌快照也不存在相關緩存內容，只在Pastebin上存有內容不可見的記錄：

可以說，這種包含錯誤日誌和查詢的 Pastebin 帖子，很多時候可能是開發人員之間為了排除故障而進行的相互共享，所以，基於此種原因，我們不能確定到底是誰上傳了這些內容到Pastebin，也不清楚其實際意圖。但是，有三種可能的情況：

第一，攻擊者自己上傳了這篇查詢帖子，方便與合作者共享代碼進行故障排除；

第二，某位內部開發人員發現了數據泄露情況，並在系統中發現了異常日誌，因此把它上傳到Pastebin進行分享，以進行故障排除；

第三種場景是，可能與攻擊毫無關聯，僅只是某位內部開發人員為了進行故障排除而上傳到Pastebin的。如果是這種情況的話，還是有些意思的，如果攻擊者正嘗試突破入侵新保集團（SingHealth） 或新加坡國家醫療保健集團（NHG）的話，發現這篇Pastebin帖子會是一個很好的信息寶藏。

總結

因此，雖然我們不能確定這些發現是否與新保集團（SingHealth）的數據泄露事件直接相關，但所有這些可疑線索組合都發生在攻擊者的網路攻擊時間窗口期。在官方聲稱發生數據泄露事件時，我們發現了至少兩個月前的這兩條的線索信息：

Java異常日誌中表明，嫌疑人試圖把新保集團（SingHealth）某個資料庫訪問許可權委託授權給一名信息分包商員工；

在Pastebin上識別了已經被刪除的，針對新保集團（SingHealth）某個資料庫醫療數據的SQL查詢。

單純來看，這些線索可能多少有點不正常，但結合網路攻擊的時間和結果，我們認為這些線索與新保集團（SingHealth）數據泄露事件相關。截至目前，雖然我們具備高度的懷疑指向，但還不具備足夠的證據來支撐確認實際的幕後攻擊組織，然而，我們仍然認為，他們不是簡單的網路犯罪團伙，而是一個以情報收集為主要目的的國家支持型黑客組織。

*參考來源：spiderlabs，clouds 編譯，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！