手法熟練且高明的黑客借助非活躍賬戶和易破解的密碼,自去年8月起入侵新保集團伺服器,並潛伏10個月,最終成功登陸病患數據庫,自今年6月起大量搜索和盜取資料。
新加坡保健服務集團網襲事件獨立調查委員會,昨天在最高法院舉行第一場公開聽證會,負責引證的總檢察長郭民力高級律師在開庭陳詞中,首次揭露事件的前因後果。
郭民力指出,這是一起非常規網襲事件。新加坡網絡安全局已確定,襲擊者不僅手法熟練且高明,他們所采用的策略和工具,也符合網安局已知的、一個慣于開展“高端持續網絡威脅”(Advanced Persistent Threat)的組織的作風。
基于國家安全考量,委員會之後將閉門傳召網安局人員供證,聽取他們如何掌握該組織的確實身份。
郭民力昨天在庭上透露,新保集團使用Sunrise Clinical Manager(簡稱SCM)軟件,來儲存和管理病患資料。
該軟件原本通過放置在新加坡中央醫院的伺服器集群運行,但去年6月遷移至H-Cloud雲端。盡管如此,伺服器集群與SCM軟件之間的連接未被完全中斷。
去年8月,襲擊者以特制的惡意軟件入侵前端用戶電腦,潛入新保集團網絡。黑客並未直搗黃龍,而是花了數個月來潛伏部署,包括在去年12月至今年5月的近半年內,將惡意軟件發送至其他電腦。
郭民力說:“襲擊者的行動隱秘、很有紀律且專注于任務,他們采取有針對性的步驟進入SCM數據庫,並掩蓋了自己的行迹。”
但他也強調,襲擊者的意圖和能力並非促成此次網襲事件的唯一因素,新保集團在網絡監督、權限控制及資産管理上也存有疏漏。
例如,伺服器的非活躍賬戶未被禁用,以致襲擊者趁機登陸中央醫院的伺服器集群,再入侵SCM數據庫。而遭盜用的其中一個賬戶,其密碼更是設爲極易被破解的“P@ssw0rd”。
此外,襲擊者在今年6月27日至7月4日間,以電腦指令頻密地向SCM系統發出詢問來搜索資料,系統卻無法自行探測出異常。
管理該系統的綜合保健信息系統公司(IHiS)職員,雖在6月中就察覺不妥,也未能及時上報高層或網安局。
郭民力總結時強調,聽證會不是爲了追究責任,而是從此次網襲事件中學習,加強我國機構應對未來網絡攻擊的防禦能力。
新保集團遭受我國曆來最大規模網襲的事件,造成約150萬名病人的個人資料被盜,還有約16萬人的門診配藥記錄被泄露,這包括總理李顯龍與數名部長的記錄。獨立調查委員會從昨天起在最高法院舉行兩周的閉門或公開聽證會,一直到下個月5日。