Смерть пациентки в Германии на совести русских хакеров?
В Германии расследуют нападение предположительно российских хакеров на университетскую клинику Дюссельдорфа. Это первый случай, когда, возможно, в результате атаки погибла пациентка.
Один час. Столько дополнительного времени понадобилось машине скорой помощи в ночь с 11 на 12 сентября, чтобы доставить больную женщину в тяжелом состоянии из Дюссельдорфа на западе Германии в соседний Вупперталь. За день до этого университетская клиника Дюссельдорфа стала объектом хакерской атаки - доступ к 30 серверам был зашифрован. Спасти пожилую пациентку не удалось. Теперь помимо подозрения в попытке вымогательства и компьютерном саботаже прокуратуре предстоит выяснить, было ли это неумышленное убийство, ответственность за которое, как считают в министерстве юстиции федеральной земли Северный Рейн-Вестфалия, могут нести хакеры, чьи следы ведут в Россию. Крупнейшая клиника Дюссельдорфа оказалась парализована почти на две недели и лишь в среду, 23 сентября, возобновила прием неотложных пациентов.
Это первый случай в Германии, когда нападение хакеров на объект так называемой критической инфраструктуры, возможно, привело к человеческим жертвам. О последствиях для тех, кому пришлось перенести запланированные операции или амбулаторное лечение, можно только гадать. Что касается пациентов стационара, то, как заявила клиника в первые часы после атаки, их обеспечение было "гарантировано".
Что известно о хакерской атаке на клинику в Дюссельдорфе
О том, что на самом деле произошло, общественности стало известно 17 сентября, то есть через неделю после нападения. Столько времени ушло на проверку этой версии правоохранительными органами и специалистами по компьютерной безопасности.
Первые официальные подробности тогда озвучил в докладе для земельного парламента министр юстиции Петер Бизенбах (Peter Biesenbach). Согласно докладу, который цитирует пресса, речь шла о вымогательстве. Хакеры оставили на одном из зашифрованных серверов послание без указания конкретной суммы, но с требованием вступить с ними в контакт. При этом послание было адресовано не клинике, а университету Дюссельдорфа. На основании этого правоохранительные органы предположили, что хакеры ошиблись адресом, и указали им на это, отметив, что такие действия угрожают жизни людей. В ответ вымогатели прислали ключ для снятия шифрования и больше на связь не выходили.
В следующем докладе Минюста земельному парламенту, о котором стало известно во вторник, 22 сентября, появились новые подробности. Так, хакеры якобы использовали брешь в программном обеспечении американской компании Citrix, о которой сама компания сообщила в декабре 2019 года. В январе 2020 года компания выпустила обновление, которое устранило проблему. Тогда же, в январе, Федеральное ведомство по безопасности в сфере информационных технологий (BIS) предупредило об опасности и призвало немедленно установить защиту. Университет, по его утверждениям, сделал это немедленно, но у хакеров было как минимум окно в несколько недель, чтобы установить свою шпионскую программу.
Сообщается, что конкретно был использован вирус-шифровальщик DoppelPaymer, который неоднократно применялся во всем мире против фирм и институтов группой хакеров предположительно из Российской Федерации. При этом Минюст Северного Рейна-Вестфалии сослался на "оценки частных компаний в сфере безопасности".
Кто может стоять за вирусом DoppelPaymer
Вирус, которому дали название DoppelPaymer, - относительно новый, он известен с середины 2019 года. Одна из компаний, которые занимались его детальным изучением, - CrowdStrike из США, один из мировых лидеров на рынке кибербезопасности. Как рассказал DW Адам Майерс, старший вице-президент по вопросам сбора и анализа информации в компании CrowdStrike, группа хакеров DoppelPaymer предположительно откололась от другой группы, Indrik Spider. Майерс описывает Indrik Spider как "криминальное предприятие, которое изначально занималось банковским мошенничеством и воровством учетных данных и перешло к атакам с целью выкупа". По его словам, некоторые члены группы клянутся, что не атакуют больницы, но не все.
Хая Шульман (Haya Shulman) возглавляет отдел по кибербезопасности в институте имени Фраунгофера в Дармштадте. "Существенным отличием DoppelPaymer является то, что он используется вручную, то есть им управляют люди, это не автоматическая программа", - отметила Шульман в беседе с DW. По ее словам, особенность вируса также заключается в том, что он используется не только для шифрования, но и для хищения данных, а хакеры впоследствии используют украденную информацию для шантажа, угрожая ее опубликовать. Клиника в Дюссельдорфе заявила, что, по предварительным данным, ничего похищено не было, но Шульман отмечает, что обнаружить это сложно, тем более - прошло время.
Насколько можно быть уверенным, что следы хакеров ведут в Россию? Прямых доказательств нет. "Мы мало знаем о том, кто стоит за DoppelPaymer, - говорит Адам Майерс из CrowdStrike. - Мы подозреваем, что они находятся в Восточной Европе, скорее всего, в России". По его словам, на это указывает несколько факторов - то, что жертвы хакеров в основном находятся за пределами бывшего СССР, а также то, что некоторые участники группы Indrik Spider действовали из России. Он отметил, что из этого региона работают несколько групп хакеров, "связанных с этим родом деятельности", некоторые из них осуждены американскими органами юстиции.
Того, что хакеры, атаковавшие клинику в Дюссельдорфе, могут быть русскими, не исключает и Хая Шульман. Она говорит, что вирус, по данным западных компаний, был создан в России, но сами хакеры могут находиться и в других странах. По ее словам, достоверно доказать, из какой конкретно страны была организована атака очень сложно, поскольку хакеры могут использовать чужие компьютеры.
Клиника - случайная жертва или объект интереса?
Пока в Германии инцидент с клиникой в Дюссельдорфе не получил широкой огласки. Одна из возможных причин: власти, судя по заявлениям, склоняются к тому, что клиника стала случайной жертвой. Эксперты не исключают этого, отмечая, что нападения на университеты - не редкость. За несколько дней до атаки в Дюссельдорфе вирус DoppelPaymer был применен против университета в британском Ньюкасле. Как отмечает Шульман, проникнуть в компьютерную сеть университета проще, чем в сеть частной компании, поскольку вузы тратят меньше денег на защиту от вирусов. Кроме того, в университетских сетях много пользователей, что упрощает рассылку шпионских мейлов.
Но предположение об ошибке хакеров не сходится с двумя особенностями вируса DoppelPaymer, а именно - его ручным управлением, которое дает хакерам возможность выбирать, куда именно они собираются проникнуть, и возможностью втайне собирать информацию. Если учесть, что у злоумышленников было достаточно времени для того, чтобы понять, куда они попали, можно предположить, что их истинной целью могла быть именно клиника и, например, данные о коронавирусе. Хая Шульман говорит, что такой вариант возможен, но это - лишь предположение.
Германия Правоохранители Университеты