醫療數據被網絡犯罪分子稱作“圣杯”。據路透社報道,醫療信息的價值是信用卡賬號的十倍。黑客為了竊取這些信息,不斷地利用病毒軟件攻擊,醫療網絡的安全防御能力越來越捉襟見肘。TrapX發布了三家醫院遭到黑客攻擊的研究報告,黑客利用攻擊向量來攻擊醫院系統,研究人員稱這種方式稱為醫療設備劫持(MEDJACK)。攻擊向量指的是黑客用來攻擊計算機或者網絡服務器的一種手段。
攻擊向量能夠幫助黑客尋找系統可能存在的任何漏洞。研究人員警告稱,醫療設備劫持將為全球范圍內的主要醫療機構帶來一場災難性風暴。MEDJACK攻擊向量可能是醫院“最薄弱的環節。
TrapX還發現,他們調查的三家獨立醫院,各種醫療設備存在很多安全漏洞,包括X射線設備,圖像存檔和通信系統(PACS)、血氣分析儀(BGA)。但還是有很多設備對MEDJACK有免疫功能,包括診斷設備(PET掃描儀,CT掃描儀,核磁共振成像儀等),治療設備(輸液泵,醫療激光器和LASIK手術設備),和生命支持設備(心臟 – 肺機,醫用呼吸機,體外膜肺氧合機透析機)等等。
攻擊醫院血氣分析儀
報告顯示,血液氣體分析儀通常用于重癥監護或手術中。據一家不愿透露名字的醫院表示,他們有一套非常強大的網絡防御產品,至今沒有檢測到任何攻擊。然而,TrapX公司發現在病毒軟件入侵血液氣體分析儀后,黑客通過網絡內部傳輸,輕松地開啟了進入醫院網絡的后門。更令人震驚地是,黑客已經悄悄地潛入歐共體存放機密數據的地方。TrapX公司還發現,宙斯(Zeus)、城堡(Citadel)和其他蠕蟲病毒變體的病毒軟件,潛伏在醫療設備上盜取醫院的其他密碼。TrapX認為黑客的下一個步驟可能是“入侵醫院IT部門的一個工作站。”
當TrapX實驗室團隊使用了一種諾華生物醫學的CCX(Critical CareExpress)裝置,在模擬攻擊環境中重現攻擊時,他們驚奇地發現,醫院的所有數據都沒有加密。同時,研究人員還發現,一旦黑客在我們的血氣分析儀或任何其他醫療設備上建立了一個后門,他們可以對未加密的數據存儲和傳輸設備隨意操縱。總之,TrapX公司的實驗小組認為,MEDJACK的攻擊向量有可能扭曲或改變內部數據。
報告解釋稱,一方面,醫療設備是封閉設備,過于老化,經常遭到修改,并且它的操作系統可能出現漏洞,如Windows 2000,Windows XP和Linux。這就是為什么在全球范圍內,MEDJACK攻擊向量給黑客提供了一個高度脆弱的攻擊目標。防火墻也不能輕易發現和修補這樣的攻擊。另一方面,黑客還有一扇敞開的大門。黑客可以進入網絡,繞過現有的防火墻,他們有一個時間窗口來入侵醫療設備,在保護港內建立一個后門。盡管醫院往往會在醫療設備背后安裝防火墻、內部網絡運行殺病毒軟件和其他防入侵安全端點,但是TrapX公司稱,“醫療設備是黑客入侵醫療網絡的關鍵樞紐。”由于醫療技術團隊無法訪問醫療設備的內部軟件,所以他們只能依賴生產商建立和維護這些設備的安全。然而,生產商還沒有開發出有效的軟件來檢測大部分由MEDJACK攻擊產生的有效載荷。
側身進攻醫院放射科
在另一家醫院,黑客采取了不同的攻擊方式,他們通過網絡傳輸來尋找其他目標。但是這種橫向傳輸的來源自圖像存檔和通信系統(PACS),該系統可以讓放射科儲存和訪問多個來源的圖像。這些圖像來源包括CT掃描儀,核磁共振成像掃描儀,便攜式x光機(c-arms),x射線和超聲波設備。PACS系統還試圖扮演一個僵尸網絡,并連接到命令和控制。在中國貴陽的一家醫院,黑客通過橫向傳輸入侵了一個重要的護士站,竊取了醫院大量的機密數據。在醫院辦公時,醫務人員實際在使用一個被病毒感染的網站。
入侵醫院X射線系統
據TrapX公司的觀察顯示,在第三現實世界的攻擊中,醫療設備的關鍵部件又感染了病毒。這次黑客在醫院的X射線系統中安裝了一個后門。據TrapX公司的總經理卡爾萊特介紹,“我們的科學家已經觀察到,你可以模擬一套攻擊,專為特定的醫療設備設計幾個模型,然后發動攻擊。在這個設計過程中,你可以結合診斷和治療中的難度,以及高價值的醫療數據,為有組織的犯罪者創造一個近乎完美的攻擊目標。”
遠程攻擊醫院藥物泵
黑客對醫療器械如胰島素泵和心臟起搏器的攻擊可能致命,這讓美聯儲不得不強行介入保護無線醫療設備免受黑客的干擾。幾年后,美國國土安全部對24種存在網絡缺陷的、致命的醫療器械展開調查。現在,有更多關于醫療設備領域漏洞的壞消息,比如,在藥物輸液泵程序中,黑客可以利用遠程控制把藥物的劑量變到致命劑量。
安全研究人員Billy Rios發現在Hospira的藥物輸液泵系統中,至少有5個模式存在漏洞,他告訴《連線》雜志的Wired,“這是我們第一次發現我們可以改變藥物的劑量。”
在檢測輸液泵后,Rios發現這五種模式的防御非常脆弱:標準的 PCA LifeCare輸液泵,PCA3 LifeCare和 PCA5 LifeCare 輸液泵;輸液泵的 Symbiq 線和Plum A+ 模式輸液泵。Wired補充道,至少有32萬個Plum A+ 模式的輸液泵安裝在世界各地的醫院中。盡管Rios還沒有檢測其他模式的漏洞,但是他懷疑公司的Plum A+3模式的輸液泵,Sapphire模式和SapphirePlus模式的輸液泵都存在不同程度的漏洞。