Croix bleue de Premera, un important fournisseur de services de soins de santé, a révélé aujourd’hui qu’une intrusion dans son réseau pourrait avoir entraîné la violation des dossiers financiers et médicaux de 11 millions de clients. Bien que Premera ne le dise pas encore, il y a des indices que cette intrusion est une fois de plus l’œuvre de groupes d’espionnage parrainés par l’État basés en Chine.
Dans une déclaration publiée sur un site Web mis en place pour partager des informations sur la violation – premeraupdate.com – la société a déclaré avoir été informée de l’attaque du 29 janvier 2015. Premera a déclaré que son enquête avait révélé que l’attaque initiale avait eu lieu le 5 mai 2014.
« Cet incident a affecté Premera Blue Cross, Premera Blue Cross Blue Shield of Alaska et nos marques affiliées Vivacity et Connexion Insurance Solutions, Inc », a déclaré la société. Leur déclaration continue :
« Notre enquête a déterminé que les attaquants pouvaient avoir obtenu un accès non autorisé aux informations des candidats et des membres, qui pourraient inclure le nom du membre, sa date de naissance, son adresse e-mail, son adresse, son numéro de téléphone, son numéro de sécurité sociale, ses numéros d’identification de membre, ses informations de compte bancaire et informations sur les réclamations, y compris les informations cliniques. Cet incident a également touché les membres d’autres plans Blue Cross Blue Shield qui ont cherché un traitement à Washington ou en Alaska.
« Les personnes qui font affaire avec nous et nous ont fourni leur adresse e-mail, leur numéro de compte bancaire personnel ou leur numéro de sécurité sociale sont également concernées. L’enquête n’a pas déterminé que ces données ont été supprimées de nos systèmes. Nous n’avons également aucune preuve à ce jour que ces données ont été utilisées de manière inappropriée.
Premera a déclaré qu’il informera les clients concernés dans des lettres envoyées par courrier postal et qu’il offrira deux ans de services gratuits de surveillance du crédit par l’intermédiaire du bureau de crédit des trois grands. Expérian.
UNE AUTRE ATTAQUE PARRAINÉE PAR L’ÉTAT ?
Le fournisseur de soins de santé a déclaré qu’il travaillait avec une entreprise de sécurité Mandiant et le FBI dans l’enquête. Mandiant est spécialisé dans le suivi et le blocage des attaques de groupes de piratage parrainés par l’État, en particulier ceux basés en Chine. Interrogé sur les indices qui suggéreraient un acteur possible impliqué dans l’infraction, Premera s’en est remis au FBI.
Un responsable du bureau extérieur du FBI à Seattle a confirmé que l’agence enquêtait, mais a refusé de discuter des détails de ses conclusions jusqu’à présent, citant « la nature en cours de l’enquête ».
« La cybercriminalité reste une menace importante et le FBI continuera à consacrer des ressources et des efforts substantiels pour traduire les cybercriminels en justice », a déclaré le FBI dans un communiqué envoyé par courrier électronique.
Il y a des indications que cela pourrait être le travail du groupe d’espionnage chinois lié à la violation révélée plus tôt cette année à Hymneune intrusion qui a touché quelque 78 millions d’Américains.
Le 9 février 2015, BreachTrace a publié une histoire exclusive pointant vers des indices dans la violation de l’hymne qui suggéraient que les attaquants étaient responsables de cette violation – un groupe de piratage parrainé par l’État chinois connu sous le nom de « Panda profond, » « Axiome, » « Groupe 72, » et le « Shell_Crew »- a commencé à ébranler les défenses d’Anthem fin avril 2014. Les preuves tournaient autour d’une adresse Internet que les chercheurs avaient liée à l’activité de piratage de Deep Panda, et cette adresse a été utilisée pour héberger un site appelé we11point.com (Anthem était auparavant connu sous le nom de Wellpoint avant son changement de raison sociale fin 2014).
Comme l’a noté cette histoire, une société de sécurité basée à Arlington, en Virginie Threat Connect Inc. a lié ce domaine sosie de Wellpoint à une série d’attaques ciblées lancées en mai 2014 qui semblaient conçues pour inciter les employés de Wellpoint à télécharger des logiciels malveillants liés au gang de piratage Deep Panda.
Le 27 février 2015, les chercheurs de ThreatConnect publié plus d’informations lier les mêmes acteurs de la menace et le même modus operandi à un domaine appelé « prennera.com » (notez l’utilisation du double « n » ici pour imiter la lettre « m ».
« On croit que la prisera[.]com peut avoir usurpé l’identité du fournisseur de soins de santé Croix bleue de Premera où les attaquants ont utilisé la même technique de remplacement de caractère en remplaçant le « m » par deux caractères « n » dans le faux domaine, la même technique qui serait vue cinq mois plus tard avec le we11point[.]com infrastructure de commande et de contrôle », a écrit ThreatConnect dans un article de blog il y a trois semaines.
Plus d’informations sur cette histoire au fur et à mesure qu’elle se développe. Restez à l’écoute.