Data: 6 lipca 2020 Autor: Wiktor Sędkowski

Cyberataki na sektor opieki zdrowotnej

Ponad 19.000 anulowanych wizyt w placówkach medycznych, odwołane zaplanowane zabiegi, pacjenci naprędce transportowani do innych szpitali w celu wykonania operacji ratujących życie. To nie scenariusz katastroficznego filmu, ani też efekt globalnej pandemii wywołanej wirusem SARS-CoV-2. To wynik działania zupełnie innego wirusa, cyfrowego dzieła inżynierów, których nieprzemyślane bądź nieodpowiedzialne działania potrafią zniszczyć systemy i sieci komputerowe jednostek ratujących ludzkie życie.

ŹRÓDŁO: PIXABAY

Dokładnie trzy lata temu, dzień przed jednym z ważniejszych świąt państwowych na Ukrainie, rozpoczął się najbardziej wyniszczający cyberatak w dotychczasowej historii. Operacja powiązana z rozpoczętą w 2014 roku wojną hybrydową pomiędzy Rosją a Ukrainą uderzyła w przedsiębiorstwa i rządy na każdym kontynencie. NotPetya, wykorzystując lukę w protokole SMB upublicznioną przez działalność grupy Shadow Brokers, przejmowała kontrolę nad komputerem ofiary tylko po to, by nieodwracalnie zniszczyć wszystkie przechowywane na nim dane. W pierwszych godzinach ataku na samej Ukrainie, która była celem operacji, zainfekowanych zostało ponad 12,000 komputerów. Dokładna liczba wszystkich zainfekowanych maszyn nie jest znana, jednak według danych firmy Kaspersky, na całym świecie ponad 2,000 firm i przedsiębiorstw ucierpiało w wyniku ataku.

NotPetya której autorstwo przypisuje się wywodzącej się z rosyjskiego wojskowego wywiadu grupie Sandworm, rozprzestrzeniała się automatycznie przy użyciu mechanizmów samoreplikujących. Co prawda autorzy złośliwego kodu przewidzieli możliwość “oszczędzenia” konkretnego celu, umieszczając na wybranych maszynach swoistą szczepionkę [1] chroniącą przed uruchomieniem nieodwracalnego mechanizmu niszczenia danych, jednak placówki świadczące usługi medyczne nie zostały potraktowane ulgowo. W Stanach Zjednoczonych zaatakowana została m.in. infrastruktura szpitali Princeton Community Hospital West Virginia, Heritage Valley Beaver i Heritage Valley Sewickley. Brak dostępu do dokumentacji medycznej pacjentów oraz specjalistycznego sprzętu kontrolowanego przez zainfekowane komputery spowodował anulowanie zaplanowanych operacji. Sytuację udało się opanować, w przeciągu kilku dni placówki wróciły do pełnej zdolności operacyjnej [2], jednak nietrudno sobie wyobrazić ogrom problemów, jakich atak przysporzył pacjentom dotkniętych szpitali. Ogromne były też straty finansowe, firma farmaceutyczna Merck (produkująca między innymi leki wspomagające leczenie chorób nowotworowych) wyceniła swoje straty finansowe na 1.300.000.000 dolarów [3]. Zniszczonych zostało 30,000 komputerów osobistych oraz ponad 7,500 serwerów połączonych firmową siecią.

Wspomniane na początku artykułu statystki to natomiast efekt działania pochodzącego z Korei Północnej ransomware WannaCry. Koreański malware podobnie jak NotPetya wykorzystywał wykradzione z NSA exploity, pozwalające na przejecie kontroli nad systemem operacyjnym komputera. Jednak w przeciwieństwie do NotPetya pozwalał on na odzyskanie zaszyfrowanych danych, po tym jak ofiara uiściła ustaloną przez autorów opłatę w bitcoinach. Cyberprzestępcy związani z reżimem Korei Północnej wypłacili 52.2 BTC z cyfrowego portfela, na którym zbierali okupy. W chwili wypłaty były one warte 143,000 dolarów, dziś około 500,000. Na tyle zostało wycenione życie ludzi, którzy w zainfekowanych szpitalach czekali na specjalistyczną pomoc. Autorzy złośliwego oprogramowania zapewne nie myśleli o celowej infekcji szpitali, nie zrobili jednak nic, aby ochronić placówki medyczne przed rozprzestrzeniającym się w mgnieniu oka zagrożeniem. WannaCry co godzinę instalował się na 3,000-4,000 nowych komputerach. Tylko w samej Anglii zainfekowanych zostało 80 z 236 oddziałów NHS (National Health Service). 34 z nich na tyle poważnie, że straciły możliwości świadczenia usług. Straty oszacowano na 92,000,000 funtów.

O ile odwołana z powodu cyberataku wizyta u lekarza rodzinnego może być co najwyżej rozczarowująca, o tyle przeniesiony planowany zabieg bądź operacja mogą przysporzyć poważnych problemów. Neurochirurdzy ze szpitala w Tyumen musieli dokończyć operację mózgu 13-letniej dziewczynki, bez użycia specjalistycznego sprzętu monitującego stan pacjentki, po tym jak w jej trakcie ciekłokrystaliczne ekrany zgasły, a na komputerach pojawił się monit o zapłacenie okupu.

W grudniu 2019 celowy atak został wymierzony w Warszawską klinikę dla dzieci w śpiączce. Pracownicy szpitala otrzymali maile phishingowe z zainfekowanymi dokumentami, po ich nieuważnym otwarciu malware doprowadził do zablokowania całego systemu informatycznego kliniki. Życie pacjentów w tym przypadku nie zostało narażone, a dane kliniki odzyskane z kopii zapasowych. Cyberprzestępcy z premedytacją zaatakowali placówkę medyczną, żądając okupu w wysokości 30,000 zł. Dwa miesiące wcześniej podobny los spotkał trzy szpitale w USA (Alabama) oraz siedem szpitali w Australii [5] i w tym przypadku ataki były motywowane chęcią wyłudzenia okupu.

W czasie globalnej pandemii COVID przestępcy nie zwolnili tempa. Informacje na temat ataków wycelowanych w szpitale dochodziły w ostatnich miesiącach ze wszystkich części świata. Czechy, Francja, Stany Zjednoczone to tylko przykłady. Większość ataków tak jak poprzednio opisane, miały na celu jedynie wzbogacić przestępców liczących na to, że obrane za cel szpitale i laboratoria w ciężkich dla nich czasach będą łatwym łupem. Inne motywowane były politycznie, zaatakowanych zostało wiele placówek świadczących różnego rodzaju pomoce, co miało na celu podsycanie negatywnych nastrojów społecznych w atakowanych krajach [6]. Przykładem jest atak na amerykański Departament Zdrowia i Opieki Społecznej (marzec 2020), który według ekspertów miał na celu zakłócić ukierunkowane na walkę z pandemią działania administracji USA. Jeszcze inne ataki, towarzyszące pandemii, związane są ze szpiegostwem przemysłowym. Wyścig po leki i szczepionkę, na których w przyszłości będzie można zarobić krocie spowodował, że laboratoria instytucji prowadzących badania nad koronawirusem SARS-COV-2 w minionych tygodniach wielokrotnie atakowane były przez hakerów. Ich zadaniem było wykraść jak najwięcej informacji związanych z postępem prac nad wirusem. Tego typu ataki zostały upublicznione m.in. przez laboratoria w USA, Anglii i Izraelu [7].

Tekst pierwotnie ukazał się na łamach „Polish Express”.

[1]https://www.cybereason.com/blog/cybereason-discovers-notpetya-kill-switch

[2]https://www.heritagevalley.org/news_posts/updates-on-the-cyber-security-incident-at-heritage-valley-health-system

[3]https://www.inquirer.com/wires/bloomberg/merck-cyberattack-20191203.html

[4]https://www.rbth.com/lifestyle/328711-russian-hackers-switched-off

[5]https://arstechnica.com/information-technology/2019/10/hamstrung-by-ransomware-10-hospitals-are-turning-away-some-patients/

[6]https://www.usnews.com/news/national-news/articles/2020-05-13/us-accuses-china-of-hacking-coronavirus-research-undermining-vaccine-development

[7]https://www.cufi.org/cyberattacks-target-israeli-labs-working-on-coronavirus-vaccine/

Wszystkie teksty publikowane przez Fundację Warsaw Institute mogą być rozpowszechniane pod warunkiem podania ich źródła. Obrazy nie mogą być wykorzystywane bez pozwolenia.

Powiązane wpisy
Top