Исследование

Атаки на больницы в 2016 году

2016 год начался значительным числом инцидентов, связанных со взломом больниц и медицинского оборудования. Среди них – атака на больницу в Лос-Анжелесе с применением программы-вымогателя, аналогичные атаки на две немецких больницы, взлом исследователями в области безопасности монитора, с помощью которого контролируется состояние пациента, и системы раздачи лекарств, атака на больницу в Мельбурне … — список можно продолжить. Все эти инциденты произошли в первые два месяца 2016 года! Представителям индустрии безопасности есть о чем задуматься.

В действительности в этом нет ничего неожиданного. Интернет вещей активно развивается, а индустрия по производству медицинского оборудования – одна из тех, чья продукция вызывает серьезные опасения с точки зрения информационной безопасности. Многие современные медицинские аппараты – полнофункциональные компьютеры, имеющие операционную систему с установленными в ней приложениями; большинство таких устройств имеет подключение к интернету, внешним сетям и разнообразным специализированным облачным серверам. Эти устройства начинены сложными современными технологиями, созданными с одной целью – помочь врачам лечить пациентов на как можно более высоком уровне. Однако, как и со всеми промышленными системами, при создании таких устройств основное внимание уделяется именно медицинским технологиям – точнее, тому, чтобы они способствовали максимально эффективному оказанию медицинской помощи, – а вопросы безопасности остаются на втором или даже на третьем месте. В наше время это не может не вызывать серьезные опасения. Уязвимая архитектура приложений, незащищенная авторизация, нешифруемые каналы передачи данных и, наконец, критические ошибки в программном обеспечении – все это создает возможности для взлома.

Несанкционированный доступ к подобным устройствам может иметь серьезные последствия – не только приводить к краже личных данных, что само по себе серьезно, но и стоить пациентам здоровья или даже жизни. Иногда становится страшно от того, насколько легко взломать компьютерные системы больницы, украсть личные данные из медицинского аппарата или получить доступ к нему с возможностью впоследствии получить доступ к его файловой системе, пользовательскому интерфейсу и т.д. Представьте себе сценарий – его без преувеличения можно назвать целевой атакой, – при котором киберпреступники, имеющие неограниченный доступ к медицинской инфраструктуре определенного лечебного учреждения, получают возможность манипулировать результатами, выдаваемыми диагностическим оборудованием, или настройками устройств, применяемых при лечении пациентов. Поскольку врачи зачастую полагаются на корректную работу этих сложных медицинских систем, подобные манипуляции могут привести к неправильному лечению пациента, таким образом способствуя ухудшению его состояния.

В исследовании, которое я представил на Kaspersky Security Analysts Summit, я показал пример того, как легко выбрать больницу, получить доступ к ее внутренней сети, а затем взять под контроль МРТ-сканер – найти личные данные пациентов, информацию о них, об их лечении, получить доступ к файловой системе МРТ-аппарата. Проблема не только в слабой защите медицинского оборудования, она гораздо шире: вся IT-инфраструктура современных больниц плохо организована и защищена, и эта проблема существует во всем мире.

Рассмотрим, какие факторы позволяют киберпреступникам успешно проводить атаки на медицинские системы. Я выделил три наиболее важные ошибки в организации защиты лечебных учреждений.

Прежде всего – возможность получения доступа из интернета со слабой авторизацией или вовсе без авторизации.

Существует несколько способов обнаружить уязвимые устройства, например применить поисковую систему Shodan. С помощью правильно сформулированных запросов системе Shodan можно найти тысячи медицинских устройств, использующих небезопасное подключение к интернету: хакер способен обнаружить МРТ-сканеры, кардиологическое оборудование, устройства, использующие источники радиоактивного излучения, и другое подключенное к интернету оборудование. Многие из этих устройств работают под управлением операционной системы Windows XP и имеют десятки неисправленных старых уязвимостей, позволяющих удаленно полностью взломать систему. Более того, в некоторых случаях на этих устройствах используются без изменения установленные по умолчанию пароли, которые легко найти в инструкциях, опубликованных в интернете.

Атаки на больницы в 2016 году

Поисковая выдача Shodan

Работая над своим исследованием и выполняя тесты на проникновение в сети реальной больницы, я обнаружил несколько устройств, подключенных к интернету, однако они были хорошо защищены: в них не использовались установленные по умолчанию пароли, не было уязвимостей в веб-интерфейсах и т.д. В то же время, даже если учреждение хорошо защищено со стороны интернета, это не помешает киберпреступнику искать другие способы взлома, поскольку его цель – получить доступ во что бы то ни стало.

И вот вторая проблема: устройства не защищены от доступа из локальной сети.

В моем случае все было просто. Я приехал к больнице и засек несколько работающих в ней точек доступа Wi-Fi. У одной из них был установлен слабый пароль, который мне удалось взломать за два часа. С помощью этого пароля я смог получить доступ к внутренней сети больницы. Я нашел то же оборудование, которое раньше обнаружил при интернет-поиске, однако с одним крайне важным отличием: теперь я мог подключиться к этим устройствам, поскольку локальная сеть была для них доверенной. Производители медицинских систем обеспечивают их защиту от доступа извне. Однако по какой-то причине они не предусмотрели ограничений на доступ из локальной сети – она по умолчанию считается доверенной. Это совершенно неправильно – нельзя рассчитывать на местных системных администраторов, на то, что они обеспечат эффективную защиту внутренней сети больницы.

Вот и третья проблема – уязвимости на уровне архитектуры программного обеспечения.

Подключившись к устройству и пройдя установленный по умолчанию экран входа в систему, я сразу же получил доступ к интерфейсу управления, а также личным данным и диагнозам пациентов больницы. Однако мое внимание привлекло не это. В интерфейсе устройства была реализована командная оболочка, которая обеспечила мне доступ к файловой системе аппарата.

Атаки на больницы в 2016 году

МРТ-снимок пациента

На мой взгляд, это серьезная уязвимость в архитектуре программного обеспечения: даже если отвлечься от возможности получения удаленного доступа, для чего разработчики программного обеспечения предусмотрели возможность доступа к интерфейсу врача через командную оболочку? Эта возможность определенно не должна быть доступна по умолчанию. Именно об этом я говорил вначале: можно обеспечить отличную защиту с одной стороны и при этом оставить без внимания другие потенциальные возможности доступа; злоумышленник, планирующий атаку, вероятнее всего, обнаружит эти возможности и сможет полностью взломать устройство.

Еще одна проблема, связанная с уязвимостью приложений, – это, конечно, устаревшие версии операционных систем и сложности с управлением установкой исправлений. Здесь мы имеем дело со средой, принципиально отличающейся от стандартной IT-инфраструктуры, обслуживающей ПК или мобильные устройства: невозможно просто выпустить исправление, закрывающее уязвимость, и загрузить его на медицинские аппараты. Это сложная работа, выполняемая вручную; при этом для обновления системы и тестирования аппаратуры на предмет корректной работы зачастую требуется высококвалифицированный инженер. Этот процесс требует времени и затрат, поэтому крайне важно с самого начала – еще на этапе разработки – создать хорошо защищенную систему, как можно менее уязвимую на уровне приложений.

Производители медицинского оборудования и IT-специалисты, работающие в больницах, должны уделять особое внимание вопросам кибербезопасности, поскольку лечебные учреждения теперь входят в число целей, привлекательных для киберпреступников. В этом году мы будем сталкиваться все с большим количеством атак на медицинские объекты, в том числе с целевыми атаками, заражением программами-вымогателями, DDoS-атаками и даже попытками физического вывода из строя медицинской аппаратуры. Индустрия наконец обратила на эту проблему внимание – например, в США Управление по надзору за качеством пищевых продуктов и медикаментов (Food and Drug Administration, FDA) выпустило проект руководства, описывающего важные меры, которые следует принять производителям медицинских систем, чтобы обеспечить достаточный уровень защиты от киберугроз, позволяющий повысить уровень безопасности пациентов и качество здравоохранения в целом.

В заключение я хотел бы дать несколько рекомендаций IT-специалистам, работающим в медицинских учреждениях:

  • Помните, что последнее время риск кибератак на медицинские учреждения значительно вырос. Читайте об имевших место инцидентах, чтобы понять, могут ли методы, примененные киберпреступниками, быть использованы для атак на вашу инфраструктуру.
  • Придерживайтесь введенных в действие политик IT-безопасности настолько строго, насколько это возможно. Помимо этого, разработайте систему оценки уязвимостей и своевременной установки исправлений.
  • Не ограничивайтесь защитой вашей инфраструктуры от внешних угроз, таких как вредоносные программы и хакерские атаки. Необходимо обеспечить строгий контроль за тем, что происходит внутри вашей локальной сети, у кого к каким системам есть доступ, а также за другими факторами, которые могут создать условия для взлома ваших локальных систем.

Атаки на больницы в 2016 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике