随着新冠疫情在全球蔓延,针对医疗行业的各类网络安全攻击事件愈演愈烈。不同于其他关键信息基础设施行业,医疗卫生系统更关系到人们的生命安全。医疗行业的特殊性质也使得它们成为攻击者关注的重点,以此获得更丰厚的回报。对医疗行业常见的攻击手段有勒索病毒、APT攻击、漏洞利用等,此外,医院内部人员往往也是信息泄露的重要来源。
《安全内参》对跟踪到的医疗卫生行业网络安全事件进行梳理,筛选出近三年比较有代表性的十个事件,为医疗机构和相关监管部门提供参考,防患于未然。
01 世界卫生组织疫情期间遭受网络攻击数量同比增长5倍
2020年4月,世界卫生组织发表声明称疫情期间遭受网络攻击数量急剧增加,约有450个世卫组织及数千名相关工作人员的邮箱、密码遭到泄露。据外媒报道,和世卫组织的数据一起泄露的,还有美国国立卫生研究院,美国疾病预防控制中心,盖茨基金会等机构的数据,共计近25000对邮箱和密码。不过,除了世卫组织,其他机构尚未承认数据遭到泄露。
02 中国医疗公司AI检测新冠病毒技术被黑客窃取
2020年4月,据外媒报道,黑客正在出售慧影医疗技术公司的实验数据源代码,该技术依靠先进的AI技术辅助进行新型冠状病毒检测。目前安全人员发现了一个名为“THE0TIME”的网络黑客,疑似是主要嫌疑犯。黑客对外的出售帖子声称已经获得了COVID-19检测技术代码,以及COVID-19实验数据。出售价格为4个比特币。出售的主要数据包括:1.5 MB的用户数据、1GB的技术内容、以及检测技术源代码、150MB的新冠病毒的实验室成果内容等。
03 疫情期间印度APT组织对我国医疗机构发起定向攻击
2020年2月,相关机构发现一起利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动的APT攻击。调查后发现,这是一起由印度黑客组织APT组织“Patchwork”发起的攻击,该组织通常也被称为“Dropping Elephant”。该攻击组织采用鱼叉式钓鱼攻击方式,通过邮件进行投递,利用肺炎疫情等相关题材作为诱饵文档,进而通过相关提示诱导受害者执行宏命令。像 Patchwork 这类 APT 黑客组织,除了发送用于传播恶意软件的诱饵文档之外,还会利用其电子邮件中的独特跟踪链接,以识别都有哪些收件人打开了电子邮件。
04 11.9亿张机密医疗图像在公网暴露,含美国军方人员信息
2019年11月,根据网络安全解决方案公司Greenbone对图片存档和通信系统(PACS)服务器安全性的研究,有11.9亿张机密医学图像可以在互联网上免费使用,包括患者姓名,检查原因,出生日期和某些情况下的身份证的详细信息。在美国发现的7.86亿张医学图像中,甚至包括列出了美国国防部军事防御人员ID的详细信息。目前已有172台PACS服务器(包括来自英国,德国,泰国和委内瑞拉等11个国家的所有系统)完全脱机,并且无法再通过互联网访问患者数据。
05 美国110家养老院系统遭Ryuk勒索软件攻击
2019年11月,美国110家养老院IT系统遭黑客攻击,并勒索价值1400万美元的比特币。据悉,黑客使用了Ryuk勒索软件将所有数据进行加密。Ryuk病毒会将感染文件的后缀修改为RYK,该病毒运行后,会根据当前系统释放不同的勒索模块,进一步提高运行效率。虚拟医疗服务提供商公司(VCPI)公司负责美国大部分医疗设施的维护,该公司CEO称,本次攻击影响了其几乎所有核心产品,包括互联网接入、账单、电话、电子邮件和客户记录等。同时,该公司表明付不起高额的赎金。
06 美国两个医疗数据库遭入侵,超2000万患者信息受影响
2018年8月1日至2019年3月30日之间,黑客入侵了为美国医疗保健行业提供账单服务的机构AMCA的网络支付门户网站,这些被入侵的系统中包含血液检测公司LabCorp和医疗检测巨头Quest Diagnostics的患者隐私信息的数据库。LabCorp称其770万名患者数据遭泄露,包含患者的姓名、生日、地址、电话号码、所欠或支付的金额等。Quest Diagnostics称其近1200万客户的记录遭到了黑客的攻击,虽然没有泄露检测结果,但个人和财务信息、社会保险号和医疗信息等客户信息被窃取。这两家公司目前都终止了与ACMA的合作关系。
07 近年来新加坡发生多起重大数据泄露事件
2019年3月,新加坡第三方承包商Secur Solutions Group保管不善导致80余万名献血者信息泄露,包括献血者的血型、身份证、体重等数据。新加坡卫生科学局(HSA)进行初步调查及对数据库日志审查后表示,没有其他未经授权的个人访问过该数据库。
2019年1月,新加坡1.4万艾滋病患者个人健康信息遭泄露。泄露的数据包括HIV阳性患者的新加坡人和外国人的医疗记录和联系方式。新加坡卫生部称这些泄露的信息为在美国公民米基·K·法雷拉·布罗切兹所为,并得到了他的新加坡医生伴侣的帮助。
2018年6月,新加坡发生史上最严重医疗数据泄露事件,约150万患者的病历记录和16万人的门诊记录遭到泄露。这些记录中包含了大量的个人信息,如姓名、地址、生日、性别、种族和身份证号码 (NRIC) 等,其中包括新加坡总理李显龙等多名政要。据悉,此次事件是由政府支持的一个名为Whitefly的间谍组织所为。数据库所有者新保集团(SingHealth)和技术供应商IHiS总计被处罚100万新币。
08 医疗管理软件被曝多个漏洞,可允许攻击者访问患者记录
2018年8月,研究人员公开披露了存在于OpenEMR软件中的22个安全漏洞。OpenEMR是一个被广泛使用的医疗实践管理软件,支持电子病历,累计存储有近1亿患者的记录,其中有超过1000万份的记录在美国境内。在此次被披露的漏洞中,包括了一个门户身份验证绕过漏洞,允许攻击者访问任何患者的记录。此外,Project insecure发现攻击者可以将此漏洞与发现的八个SQL注入漏洞结合起来使用,以访问目标数据库中数据、破坏患者记录。OpenEMR的开发人员表示已经发布了一系列补丁,对这些漏洞进行了修复。
09 全国多地120多家美容医院客户信息被黑客盗取贩卖
2018年7月,武汉警方抓获一个盗窃、贩卖美容整形医院客户信息的团伙,12名涉案嫌疑人被抓获。苏某与蒋某制作木马病毒后,假扮美容客户向医院客服咨询,将病毒链接藏匿在整形需求图片上,发送给工作人员。当工作人员打开图片时,服务器被植入木马,客户隐私资料即被盗取。苏某每隔一段时间下载新鲜的客户资料,卖给潘某某、杨某某,然后他们再层层转手,将信息加价后再转让给末端的市场人员,由他们通过电话、网络等方式对客户直接“引流”到愿意给他们提成的医院。经过清查,警方发现这个团伙有多省市120多家美容医院的客户资料。
10 国内多家三甲医院服务器遭黑客入侵并植入挖矿木马
2018年7月,广东、重庆多家三甲医院服务器被黑客入侵,攻击者暴力破解医院服务器的远程登录服务,之后利用有道笔记的分享文件功能下载多种挖矿木马。攻击者将挖矿木马伪装成远程协助工具Teamviewer运行,攻击者的挖矿木马会检测多达50个常用挖矿程序的进程,将这些程序结束进程后独占服务器资源挖矿。该挖矿木马还会通过修改注册表,破坏操作系统安全功能:禁用UAC(用户帐户控制)、禁用Windows Defender,关闭运行危险程序时的打开警告等等。据有关机构统计分析,我国医疗机构开放远程登录服务(端口号:22)的比例高达50%,这意味着有一半的服务器可能遭遇相同的攻击。
医疗卫生行业是关乎民众生命健康的重要行业,随着新冠疫情的持续蔓延,线上诊疗模式得到了快速发展;在物联网时代,医疗设施的联网需求也在不断增加。因此,重点加强医疗行业的网络安全建设显得尤为重要。此外,加强医护工作者的网络安全意识培训、明确内部人员的权限管理对减少因“内鬼”而发生的数据泄露事件同样十分关键。
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
