IntelBroker adlı bilinen bir bilgi hırsızlığı tehdidi aktörünün Temsilciler Meclisi üyelerinin kişisel olarak tanımlanabilir bilgilerini (PII) ” İhlal” suç forumu.
Sağlık sigortası pazar yeri DC Health Link’teki bir ihlal aracılığıyla elde edildiği doğrulanan bilgiler, adları, Sosyal Güvenlik numaralarını, doğum tarihlerini, adresleri ve diğer hassas tanımlayıcı bilgileri içerir. Meclis üyeleriyle ilgili veriler, tehdit aktörünün bu hafta satışa sunduğu DC Health Link’e kayıtlı 170.000’den fazla kişiye ait daha büyük bir PII veri setinin parçasıydı.
DC Sağlık Bağlantısı: Önemli Bir İhlal
ABD Meclisi İdari Sorumlusu Catherine Szpindor, Meclis üyelerine ve çalışanlarına 8 Mart’ta gönderdiği bir e-postada, DC Health Link’e yapılan saldırının özellikle ABD’li milletvekillerini hedef almış gibi görünmediğini söyledi. Ancak ihlal önemliydi ve potansiyel olarak DC Health Link’e kaydolan binlerce kişi hakkında ifşa edilen PII.
Meclis Başkanı Kevin McCarthy (R-Calif.) ve Meclis Azınlık Lideri Hakeem Jeffries (DN.Y. ) bir arada söyledi DC Health Link’teki yönetici direktöre mektup 8 Mart’ta. Mektupta, saldırının tüm kapsamı ve DC Health Link’in etkilenen bireyleri bilgilendirme ve onlar için kredi izleme hizmetleri sunma planları da dahil olmak üzere sağlık borsasından ihlalle ilgili ayrıntılar istendi.
Mektuba rağmen, DC Health Link’teki izinsiz girişin ayrıntıları henüz mevcut değil. DC belediye başkanı tarafından atanan bir yönetim kurulu tarafından yönetilen örgüt, olayla ilgili yorum talebine hemen yanıt vermedi.
BleepingComputer’da bu hafta yayınlanan bir rapor önce tehdit aktörünü belirledi Siber suçlular çalınan verileri 6 Mart’ta satışa çıkardıktan sonra, uygun şekilde IntelBroker olarak adlandırılmıştır. Yeraltı forum reklamına göre, veri seti “açıklanmayan bir miktar Monero kripto para birimi” karşılığında kullanılabilir. İlgilenenlerin ayrıntılar için bir aracı aracılığıyla satıcılarla iletişime geçmeleri rica olunur.
IntelBroker’ın Önceki İhlallere İlişkin Özgeçmişi
Bu, grubun ilk büyük soygunu değil: Şubat ayında aynı takma adı kullanan bir tehdit aktörü, Asyalı ve Hispanik bir yemek dağıtım hizmeti olan Weee!’de bir ihlalin sorumluluğunu üstlenmişti. IntelBroker daha sonra 1,1 milyon benzersiz e-posta adresini ve hizmet aracılığıyla verilen 11,3 milyondan fazla siparişle ilgili ayrıntılı bilgileri sızdırdı.
Güvenlik satıcısı BitDefender, hangi olayı örtbas etti o sırada kendi blogunda, IntelBroker’ın BreachedForums’a yerleştirdiği ve saldırganın tam adları, e-posta adreslerini, telefon numarasını ve hatta daire ve bina erişim kodlarını içeren sipariş notlarını almakla övündüğünü gösteren bir reklam yayınladı.
Bu arada Cybersixgill baş risk ve uyumluluk sorumlusu Chris Strand, şirketinin 2022’den beri IntelBroker’ı izlediğini ve oyuncu hakkında bir rapor yayınlamak üzere olduğunu söyledi. Strand, “IntelBroker, geçmişte Endurance fidye yazılımının geliştiricisi olduğunu iddia eden, 9/10 itibar puanına sahip oldukça aktif bir Breached üyesidir” diyor.
IntelBroker’ın özel bir sızıntı sitesi veya bir Telegram kanalı yerine sağlık değiş tokuşu PII’sini satmak için Breached’ı kullanması, tehdit aktörünün önceki taktikleriyle tutarlıdır. Strand, ya kaynak eksikliğine ya da bireyin deneyimsizliğine işaret ediyor, diyor.
Dark Reading’e “IntelBroker’ın Breached üzerindeki varlığına ek olarak, tehdit aktörü Endurance-Wiper adlı halka açık bir GitHub deposunu sürdürdü” dedi.
Strand, Kasım ayında IntelBroker’ın Endurance’ı üst düzey ABD devlet kurumlarından veri çalmak için kullandığını iddia etti. Tehdit aktörü, müşterileri bir hizmet olarak fidye yazılımı (RaaS) programına çekmesi muhtemel olan, üst düzey ABD devlet kurumlarını ihlal etmekle ilgili toplamda yaklaşık 13 iddiada bulundu. IntelBroker’ın zorla girdiğini iddia ettiği diğer kuruluşlar arasında Volvo, kült ayakkabı üreticisi Dr. Martens ve Endonezya’daki The Body Shop yan kuruluşu yer alıyor.
Strand, “İstihbarat analistlerimiz 2022’den beri IntelBroker’ı izliyor ve o zamandan beri bu tehdit aktörüne atfedilen istihbaratın yanı sıra IntelBroker ile ilgili veya atfedilen ilgili tehditleri topluyoruz” diyor.
Meclis Üyelerinin PII’leri Ulusal Güvenlik Tehdidi mi?
Darktrace’teki kırmızı ekip operasyonlarından sorumlu kıdemli başkan yardımcısı Justin Fier, tehdit aktörünün verileri satışa çıkarma nedeninin siyasi olmaktan çok tamamen mali amaçlı göründüğünü söylüyor. Kurbanların yüksek profili göz önüne alındığında IntelBroker, ihlalin topladığı ilginin çalınan verilerin değerini artıracağını (veya istediğinden daha fazla ısı getireceğini) görebilir.
Alıcılar başka bir hikaye olabilir. Fiziksel adreslerin ve elektronik iletişim bilgilerinin mevcudiyeti göz önüne alındığında, kimlik hırsızlığı veya casusluk için sosyal mühendislikten fiziksel hedeflemeye kadar çok sayıda potansiyel devam eden saldırı türü vardır; bu, ilgili tarafların motivasyon açısından her şeyi yapabileceği anlamına gelir.
“Miktar, alıcılar açısından kimi düşündükleri hakkında size çok şey anlatıyor” diyor. Tehdit aktörünün istediği tek şey birkaç bin dolarsa, muhtemelen daha küçük bir suç teşkilatı olacaklardır. Ama “milyonlardan bahsetmeye başlarsınız, o zaman açıkça ulus-devlet alıcılarına hizmet veriyorlar” diyor.
Fier, tehdit aktörünün ABD Temsilciler Meclisi üyelerinden çaldığı verilerin potansiyel olarak bir ulusal güvenlik sorunu teşkil ettiğini değerlendiriyor. Fier, “Sadece bunu satın almak isteyebilecek dış ulus devletleri düşünmemeliyiz” diyor. “Diğer siyasi partilerin ve/veya aktivistlerin bunu silah haline getiremeyeceğini kim söyleyebilir?”