手法熟练且高明的黑客借助非活跃账户和易破解的密码,自去年8月起入侵新保集团伺服器,并潜伏10个月,最终成功登陆病患数据库,自今年6月起大量搜索和盗取资料。
新加坡保健服务集团网袭事件独立调查委员会,昨天在最高法院举行第一场公开听证会,负责引证的总检察长郭民力高级律师在开庭陈词中,首次揭露事件的前因后果。
郭民力指出,这是一起非常规网袭事件。新加坡网络安全局已确定,袭击者不仅手法熟练且高明,他们所采用的策略和工具,也符合网安局已知的、一个惯于开展“高端持续网络威胁”(Advanced Persistent Threat)的组织的作风。
基于国家安全考量,委员会之后将闭门传召网安局人员供证,听取他们如何掌握该组织的确实身份。
郭民力昨天在庭上透露,新保集团使用Sunrise Clinical Manager(简称SCM)软件,来储存和管理病患资料。
该软件原本通过放置在新加坡中央医院的伺服器集群运行,但去年6月迁移至H-Cloud云端。尽管如此,伺服器集群与SCM软件之间的连接未被完全中断。
去年8月,袭击者以特制的恶意软件入侵前端用户电脑,潜入新保集团网络。黑客并未直捣黄龙,而是花了数个月来潜伏部署,包括在去年12月至今年5月的近半年内,将恶意软件发送至其他电脑。
郭民力说:“袭击者的行动隐秘、很有纪律且专注于任务,他们采取有针对性的步骤进入SCM数据库,并掩盖了自己的行迹。”
但他也强调,袭击者的意图和能力并非促成此次网袭事件的唯一因素,新保集团在网络监督、权限控制及资产管理上也存有疏漏。
例如,伺服器的非活跃账户未被禁用,以致袭击者趁机登陆中央医院的伺服器集群,再入侵SCM数据库。而遭盗用的其中一个账户,其密码更是设为极易被破解的“P@ssw0rd”。
此外,袭击者在今年6月27日至7月4日间,以电脑指令频密地向SCM系统发出询问来搜索资料,系统却无法自行探测出异常。
管理该系统的综合保健信息系统公司(IHiS)职员,虽在6月中就察觉不妥,也未能及时上报高层或网安局。
郭民力总结时强调,听证会不是为了追究责任,而是从此次网袭事件中学习,加强我国机构应对未来网络攻击的防御能力。
新保集团遭受我国历来最大规模网袭的事件,造成约150万名病人的个人资料被盗,还有约16万人的门诊配药记录被泄露,这包括总理李显龙与数名部长的记录。独立调查委员会从昨天起在最高法院举行两周的闭门或公开听证会,一直到下个月5日。