Anthem违反中国证据,安全研究人员说

更新时间: Sep 02, 2019  作者:刘断罪无尽  来源:

安全公司ThreatConnect于2月27日表示,一项关于违反健康保险公司Anthem的新的开源情报分析强化了数据盗窃导致中国间谍计划的理论。/p>

在基于公共资源或“开源”情报的报告中,ThreatConnect和其他公司的安全研究人员发现了技术证据,证明据报道在Anthem攻击中使用的恶意软件与中国间谍组织和东南大学教授,与政府承办商北京拓普科技有限公司合作。

各种证据-包括电子邮件地址,为命令和控制服务器注册的域名以及使用的证书o以恶意软件为主导的三位演员签名,ThreatConnect首席情报官RichBarger告诉eWEEK。

“从技术方面来看,所有这些证据都以多种方式回溯到中国“尽管演员们”尽最大努力掩盖他们的起源,“Barger说道。”他们努力隐藏,但他们搞砸了。“

进一步阅读Brinqa如何为网络风险带来可行的见解......Splunkvs.LogRhythm:SIEMHead-to-Head

该分析是最近一次了解Anthem的大规模违规行为,Anthem是组成蓝十字蓝盾协会的37家公司中最大的医疗保险公司。该公司,前身为Wellpoint,宣布攻击者可能访问过个人身份有关超过8000万患者的信息,包括姓名,出生日期,社会安全号码,医疗保健ID号码,家庭住址,电子邮件地址和就业信息。在Anthem服务的地区接受治疗的其他蓝十字蓝盾成员的信息可能也受到了损害。

网络犯罪分子通常会尝试出售此类数据,但到目前为止,几乎没有证据表明根据ThreatConnect的分析,这些信息已被出售。

该分析将与Derusbi有关的间谍恶意软件与中国间谍团体联系起来,并与韩国软件公司DETOPTOOLZ的有效签名签署。/p>

根据ThreatConnect的分析,DTOPTOOLZ签名与Derusbi,Sakula和HttpBrowser/HttpDump恶意软件系列一起被发现。所有这些恶意软件都与中国高级持续威胁(APT)组相关联。一个恶意软件案例被添加到ThreatConnect的智能平台,使用域名we11point.com将Sakula链接到命令和控制服务器,其中“ll”被替换为11号。

其他类似的攻击将域名所有者链接到与东南大学Topsec信息安全和移动互联网技术联合研究中心运营的信息安全竞赛相关联的电子邮件地址。2009年维基解密泄露的美国国务院备忘录指出,Topsec已收到重大意见来自人民解放军的投资。

总而言之,这些证据形成了一个中国袭击事件的清晰画面,旨在收集有关美国公民的信息,Barger说。蓝十字和蓝盾协会为三分之一的美国人和530万联邦雇员,退休人员及其家属提供服务,这可能表明这次袭击的动机。

“有人说归属很难网络,“他说。“但在网络中否认和欺骗[欺骗维权者的行为]更难。”

(责任编辑:创盈彩票app)

本文地址:http://www.transkk.com/jianshenyongpin/wudao/201909/5259.html

上一篇:改变电影艺术的技术 下一篇:没有了