Ponad 19 tys. anulowanych wizyt w placówkach medycznych, odwołane zaplanowane zabiegi, pacjenci naprędce transportowani do innych szpitali w celu wykonania operacji ratujących życie. To nie scenariusz katastroficznego filmu, ani też efekt globalnej pandemii wywołanej wirusem SARS-CoV-2. To wynik działania zupełnie innego wirusa, cyfrowego dzieła inżynierów, których nieprzemyślane bądź nieodpowiedzialne działania potrafią zniszczyć systemy i sieci komputerowe jednostek ratujących ludzkie życie.
Dokładnie trzy lata temu, dzień przed jednym z ważniejszych świąt państwowych na Ukrainie, rozpoczął się najbardziej wyniszczający cyberatak w dotychczasowej historii. Operacja powiązana z rozpoczętą w 2014 roku wojną hybrydową pomiędzy Rosją a Ukrainą uderzyła w przedsiębiorstwa i rządy na każdym kontynencie. NotPetya, wykorzystując lukę w protokole SMB upublicznioną przez działalność grupy Shadow Brokers, przejmowała kontrolę nad komputerem ofiary tylko po to, by nieodwracalnie zniszczyć wszystkie przechowywane na nim dane. W pierwszych godzinach ataku na samej Ukrainie, która była celem operacji, zainfekowanych zostało ponad 12,000 komputerów. Dokładna liczba wszystkich zainfekowanych maszyn nie jest znana, jednak według danych firmy Kaspersky, na całym świecie ponad 2,000 firm i przedsiębiorstw ucierpiało w wyniku ataku.
NotPetya której autorstwo przypisuje się wywodzącej się z rosyjskiego wojskowego wywiadu grupie Sandworm, rozprzestrzeniała się automatycznie przy użyciu mechanizmów samoreplikujących. Co prawda autorzy złośliwego kodu przewidzieli możliwość ,,oszczędzenia” konkretnego celu, umieszczając na wybranych maszynach swoistą szczepionkę [1] chroniącą przed uruchomieniem nieodwracalnego mechanizmu niszczenia danych, jednak placówki świadczące usługi medyczne nie zostały potraktowane ulgowo. W Stanach Zjednoczonych zaatakowana została m.in. infrastruktura szpitali Princeton Community Hospital West Virginia, Heritage Valley Beaver i Heritage Valley Sewickley. Brak dostępu do dokumentacji medycznej pacjentów oraz specjalistycznego sprzętu kontrolowanego przez zainfekowane komputery spowodował anulowanie zaplanowanych operacji. Sytuację udało się opanować, w ciągu kilku dni placówki wróciły do pełnej zdolności operacyjnej [2], jednak nietrudno sobie wyobrazić ogrom problemów, jakich atak przysporzył pacjentom dotkniętych szpitali. Ogromne były też straty finansowe, firma farmaceutyczna Merck (produkująca między innymi leki wspomagające leczenie chorób nowotworowych) wyceniła swoje straty finansowe na 1,3 mln dol. [3]. Zniszczonych zostało 30 tys. komputerów osobistych oraz ponad 7,5 tys. serwerów połączonych firmową siecią.
Wspomniane na początku artykułu statystki to natomiast efekt działania pochodzącego z Korei Północnej ransomware WannaCry. Koreański malware podobnie jak NotPetya wykorzystywał wykradzione z NSA exploity, pozwalające na przejęcie kontroli nad systemem operacyjnym komputera. Jednak w przeciwieństwie do NotPetya pozwalał on na odzyskanie zaszyfrowanych danych, po tym jak ofiara uiściła ustaloną przez autorów opłatę w bitcoinach. Cyberprzestępcy związani z reżimem Korei Północnej wypłacili 52.2 BTC z cyfrowego portfela, na którym zbierali okupy. W chwili wypłaty były one warte 143,000 dolarów, dziś około 500,000. Na tyle zostało wycenione życie ludzi, którzy w zainfekowanych szpitalach czekali na specjalistyczną pomoc. Autorzy złośliwego oprogramowania zapewne nie myśleli o celowej infekcji szpitali, nie zrobili jednak nic, aby ochronić placówki medyczne przed rozprzestrzeniającym się w mgnieniu oka zagrożeniem. WannaCry co godzinę instalował się na 3,000-4,000 nowych komputerach. Tylko w samej Anglii zainfekowanych zostało 80 z 236 oddziałów NHS (National Health Service). 34 z nich na tyle poważnie, że straciły możliwości świadczenia usług. Straty oszacowano na 92,000,000 funtów.
O ile odwołana z powodu cyberataku wizyta u lekarza rodzinnego może być co najwyżej rozczarowująca, o tyle przeniesiony planowany zabieg bądź operacja mogą przysporzyć poważnych problemów. Neurochirurdzy ze szpitala w Tyumen musieli dokończyć operację mózgu 13-letniej dziewczynki, bez użycia specjalistycznego sprzętu monitorującego stan pacjentki, po tym jak w jej trakcie ciekłokrystaliczne ekrany zgasły, a na komputerach pojawił się monit o zapłacenie okupu.
W grudniu 2019 celowy atak został wymierzony w Warszawską klinikę dla dzieci w śpiączce. Pracownicy szpitala otrzymali maile phishingowe z zainfekowanymi dokumentami, po ich nieuważnym otwarciu malware doprowadził do zablokowania całego systemu informatycznego kliniki. Życie pacjentów w tym przypadku nie zostało narażone, a dane kliniki odzyskane z kopii zapasowych. Cyberprzestępcy z premedytacją zaatakowali placówkę medyczną, żądając okupu w wysokości 30 tys. zł. Dwa miesiące wcześniej podobny los spotkał trzy szpitale w USA (Alabama) oraz siedem szpitali w Australii [5] i w tym przypadku ataki były motywowane chęcią wyłudzenia okupu.
W czasie globalnej pandemii COVID przestępcy nie zwolnili tempa. Informacje na temat ataków wycelowanych w szpitale dochodziły w ostatnich miesiącach ze wszystkich części świata. Czechy, Francja, Stany Zjednoczone to tylko przykłady. Większość ataków tak jak poprzednio opisane, miały na celu jedynie wzbogacić przestępców liczących na to, że obrane za cel szpitale i laboratoria w ciężkich dla nich czasach będą łatwym łupem. Inne motywowane były politycznie, zaatakowanych zostało wiele placówek świadczących różnego rodzaju pomoce, co miało na celu podsycanie negatywnych nastrojów społecznych w atakowanych krajach [6]. Przykładem jest atak na amerykański Departament Zdrowia i Opieki Społecznej (marzec 2020), który według ekspertów miał na celu zakłócić ukierunkowane na walkę z pandemią działania administracji USA. Jeszcze inne ataki, towarzyszące pandemii, związane są ze szpiegostwem przemysłowym. Wyścig po leki i szczepionkę, na których w przyszłości będzie można zarobić krocie spowodował, że laboratoria instytucji prowadzących badania nad koronawirusem SARS-COV-2 w minionych tygodniach wielokrotnie atakowane były przez hakerów. Ich zadaniem było wykraść jak najwięcej informacji związanych z postępem prac nad wirusem. Tego typu ataki zostały upublicznione m.in. przez laboratoria w USA, Anglii i Izraelu [7].
Wiktor Sędkowski
ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.
The Warsaw Institute Foundation to pierwszy polski geopolityczny think tank w Stanach Zjednoczonych. Strategicznym celem tej organizacji jest wzmocnienie polskich interesów w USA przy jednoczesnym wspieraniu unikalnego sojuszu między dwoma narodami. Jej działalność koncentruje się na takich zagadnieniach jak geopolityka, porządek międzynarodowy, polityka historyczna, energetyka i bezpieczeństwo militarne. The Warsaw Institute Foundation została założona w 2018 roku i jest niezależną organizacją non-profit, inspirowaną bliźniaczą organizacją działającą w Polsce – Warsaw Institute.
The Warsaw Institute Foundation is Poland’s first geopolitical think tank in the United States. The strategic goal of this organisation is to bolster Polish interests in the U.S. while supporting the unique alliance between the two nations. Its activity focuses on such issues as geopolitics, international order, historical policy, energy, and military security. Established in 2018, The Warsaw Institute Foundation is an independent, non-profit organization inspired the twin Poland-based Warsaw Institute.
Cyber-attacks on the healthcare sector
More than 19,000 terminated visits in medical facilities, cancelled scheduled treatments and patients being hastily transported to other hospitals in order to perform life-saving operations. This is not a scenario of a disaster movie, nor the effect of the global pandemic caused by the SARS-CoV-2 virus.
This is the result of a completely different virus – a digital work of engineers whose ill-considered or irresponsible activities can destroy the systems and computer networks of life-saving units.
Exactly three years ago, the day before one of the most important national holidays in Ukraine, the most devastating cyber-attack in history began. The operation, connected to the 2014 Hybrid War between Russia and Ukraine, hit enterprises and governments on every continent. NotPetya, taking advantage of a loophole in the SMB protocol, made public by Shadow Brokers, took control of the victim’s computer only to irrevocably destroy all data stored on it. In the first hours of the attack, more than 12,000 computers were infected in Ukraine alone, which was the target of the operation. The exact number of all infected machines is unknown, however, more than 2,000 companies and enterprises worldwide suffered from the attack, according to data of Kaspersky company.
NotPetya, whose authorship is attributed to the Sandworm group that originated from the Russian military intelligence, spread automatically using self-replicating mechanisms. Although the authors of the malicious code anticipated the possibility of “saving” certain targets by placing a specific vaccine on selected machines [1] protecting them from the activation of the irreversible mechanism of data destruction, yet the facilities providing medical services were not given any special treatment. In the United States the infrastructure of hospitals, such as Princeton Community Hospital (Princeton, WV) as well as Heritage Valley (Beaver, PA and Sewickley, PA) were attacked. The lack of access to patients’ medical records and specialist equipment controlled by the infected computers resulted in cancellation of scheduled operations. The situation was brought under control and within a few days the facilities returned to full operational capacity [2], but it is not hard to imagine the magnitude of problems that the attack caused to the patients of the affected hospitals. The financial losses were also enormous – the pharmaceutical company Merck (producing, among others, medicines supporting cancer treatment) estimated its financial losses at USD 1,300,000,000 [3]. 30,000 personal computers and over 7,500 servers connected to the company’s network were destroyed.
On the other hand, the statistics mentioned at the beginning of the article are the result of North Korean WannaCry ransomware. Korean malware, similarly to NotPetya, used exploits stolen from the NSA, which allowed to take control of the computer’s operating system. However, unlike NotPetya, it allowed for the recovery of encrypted data after the victim paid a fee in bitcoins which was set by the authors. Cybercriminals associated with the North Korean regime paid out BTC 52.2 from a digital wallet in which they collected ransoms. At the time of the withdrawal, the ransom was worth USD 143,000 – today around USD 500,000. This is the value of the lives of people who were waiting for the specialist help in infected hospitals. The authors of the malware probably did not reflect on deliberately infecting the hospitals, but they did nothing to protect the medical facilities from the jeopardy that was spreading in the blink of an eye. WannaCry installed itself on 3,000-4,000 new computers every hour. In England alone, 80 out of the 236 National Health Service (NHS) units were infected. 34 of them were severe enough that they were not able to provide services. The losses were estimated at GBP 92,000,000.
While a visit to a family doctor cancelled due to a cyber-attack could be disappointing at most, a postponed planned procedure or operation can cause serious problems.
Neurosurgeons from Tyumen Hospital had to complete the brain surgery of a 13-year-old girl without the use of specialist equipment to monitor the patient’s condition, after the LCD screens went out and computers prompted to pay the ransom.
In December 2019, a deliberate attack was aimed at the Warsaw Coma Clinic for Children. Hospital employees received phishing emails with infected documents. After their careless opening, the malware led to the freeze of the whole IT system of the clinic. In this case the life of the patients was not endangered and the clinic’s data was recovered from the back-up copies. Cybercriminals deliberately attacked the medical facility, demanding a ransom of PLN 30,000. Two months earlier, a similar situation occurred in three American hospitals (Alabama) and seven hospitals in Australia [5]. Likewise, the attacks were motivated by the desire to extort the ransom payment.
During the global COVID pandemic, criminals did not slow their pace down. The information about the attacks targeted at hospitals were heard from all parts of the world in recent months. Czechia, France, the United States are just the examples. Most of the attacks, as the previously described ones, had only one aim – to make the criminals rich. These individuals were hoping that the targeted hospitals and laboratories will be an easy prey in the hard times. Other ones were politically motivated – multiple institutions providing various kinds of aid were attacked in order to fuel the negative social moods in the affected countries [6]. An attack on the US Department of Health and Human Services (HHS) in March 2020, which, according to experts, was aimed at disrupting the pandemic-oriented actions of the US administration, is one of the examples. Other attacks, accompanying the pandemic, are related to industrial espionage. The race for medicines and a vaccine, which will generate a fortune in the future, caused the laboratories of institutions conducting research on SARS-COV-2 coronavirus to be repeatedly attacked by hackers in recent weeks. Their objective was to steal as much information regarding the work progress on the virus as possible. Such attacks were made public by laboratories in the USA, England and Israel, among others [7].
Wiktor Sędkowski
graduated in Teleinformatics at the Wrocław University of Science and Technology, specialized in cybersecurity field. He is an expert on cyber threats. CISSP, OSCP and MCTS certificates holder. Worked as an engineer and solution architect for leading IT companies.
—
Przypisy
[1]https://www.cybereason.com/blog/cybereason-discovers-notpetya-kill-switch
[3]https://www.inquirer.com/wires/bloomberg/merck-cyberattack-20191203.html
[4]https://www.rbth.com/lifestyle/328711-russian-hackers-switched-off
[7]https://www.cufi.org/cyberattacks-target-israeli-labs-working-on-coronavirus-vaccine/
