医疗劫持:黑客劫持医疗设备,窃取机密数据
扫描二维码
随时随地手机看文章
医疗数据被网络犯罪分子称作“圣杯”。据路透社报道,医疗信息的价值是信用卡账号的十倍。黑客为了窃取这些信息,不断地利用病毒软件攻击,医疗网络的安全防御能力越来越捉襟见肘。TrapX发布了三家医院遭到黑客攻击的研究报告,黑客利用攻击向量来攻击医院系统,研究人员称这种方式称为医疗设备劫持(MEDJACK)。攻击向量指的是黑客用来攻击计算机或者网络服务器的一种手段。
攻击向量能够帮助黑客寻找系统可能存在的任何漏洞。研究人员警告称,医疗设备劫持将为全球范围内的主要医疗机构带来一场灾难性风暴。MEDJACK攻击向量可能是医院“最薄弱的环节。
TrapX还发现,他们调查的三家独立医院,各种医疗设备存在很多安全漏洞,包括X射线设备,图像存档和通信系统(PACS)、血气分析仪(BGA)。但还是有很多设备对MEDJACK有免疫功能,包括诊断设备(PET扫描仪,CT扫描仪,核磁共振成像仪等),治疗设备(输液泵,医疗激光器和LASIK手术设备),和生命支持设备(心脏 肺机,医用呼吸机,体外膜肺氧合机透析机)等等。
攻击医院血气分析仪
报告显示,血液气体分析仪通常用于重症监护或手术中。据一家不愿透露名字的医院表示,他们有一套非常强大的网络防御产品,至今没有检测到任何攻击。然而,TrapX公司发现在病毒软件入侵血液气体分析仪后,黑客通过网络内部传输,轻松地开启了进入医院网络的后门。更令人震惊地是,黑客已经悄悄地潜入欧共体存放机密数据的地方。TrapX公司还发现,宙斯(Zeus)、城堡(Citadel)和其他蠕虫病毒变体的病毒软件,潜伏在医疗设备上盗取医院的其他密码。TrapX认为黑客的下一个步骤可能是“入侵医院IT部门的一个工作站。”
当TrapX实验室团队使用了一种诺华生物医学的CCX(Critical CareExpress)装置,在模拟攻击环境中重现攻击时,他们惊奇地发现,医院的所有数据都没有加密。同时,研究人员还发现,一旦黑客在我们的血气分析仪或任何其他医疗设备上建立了一个后门,他们可以对未加密的数据存储和传输设备随意操纵。总之,TrapX公司的实验小组认为,MEDJACK的攻击向量有可能扭曲或改变内部数据。
报告解释称,一方面,医疗设备是封闭设备,过于老化,经常遭到修改,并且它的操作系统可能出现漏洞,如Windows 2000,Windows XP和 Linux。这就是为什么在全球范围内,MEDJACK攻击向量给黑客提供了一个高度脆弱的攻击目标。防火墙也不能轻易发现和修补这样的攻击。另一方面,黑客还有一扇敞开的大门。黑客可以进入网络,绕过现有的防火墙,他们有一个时间窗口来入侵医疗设备,在保护港内建立一个后门。尽管医院往往会在医疗设备背后安装防火墙、内部网络运行杀病毒软件和其他防入侵安全端点,但是TrapX公司称,“医疗设备是黑客入侵医疗网络的关键枢纽。”由于医疗技术团队无法访问医疗设备的内部软件,所以他们只能依赖生产商建立和维护这些设备的安全。然而,生产商还没有开发出有效的软件来检测大部分由MEDJACK攻击产生的有效载荷。
侧身进攻医院放射科
在另一家医院,黑客采取了不同的攻击方式,他们通过网络传输来寻找其他目标。但是这种横向传输的来源自图像存档和通信系统(PACS),该系统可以让放射科储存和访问多个来源的图像。这些图像来源包括CT扫描仪,核磁共振成像扫描仪,便携式x光机(c-arms),x射线和超声波设备。PACS系统还试图扮演一个僵尸网络,并连接到命令和控制。在中国贵阳的一家医院,黑客通过横向传输入侵了一个重要的护士站,窃取了医院大量的机密数据。在医院办公时,医务人员实际在使用一个被病毒感染的网站。
入侵医院X射线系统
据TrapX公司的观察显示,在第三现实世界的攻击中,医疗设备的关键部件又感染了病毒。这次黑客在医院的X射线系统中安装了一个后门。据TrapX公司的总经理卡尔莱特介绍,“我们的科学家已经观察到,你可以模拟一套攻击,专为特定的医疗设备设计几个模型,然后发动攻击。在这个设计过程中,你可以结合诊断和治疗中的难度,以及高价值的医疗数据,为有组织的犯罪者创造一个近乎完美的攻击目标。”
远程攻击医院药物泵
黑客对医疗器械如胰岛素泵和心脏起搏器的攻击可能致命,这让美联储不得不强行介入保护无线医疗设备免受黑客的干扰。几年后,美国国土安全部对24种存在网络缺陷的、致命的医疗器械展开调查。现在,有更多关于医疗设备领域漏洞的坏消息,比如,在药物输液泵程序中,黑客可以利用远程控制把药物的剂量变到致命剂量。
安全研究人员Billy Rios发现在Hospira的药物输液泵系统中,至少有5个模式存在漏洞,他告诉《连线》杂志的Wired,“这是我们第一次发现我们可以改变药物的剂量。”
在检测输液泵后,Rios发现这五种模式的防御非常脆弱:标准的 PCA LifeCare输液泵,PCA3 LifeCare 和 PCA5 LifeCare 输液泵;输液泵的 Symbiq 线和Plum A+ 模式输液泵。Wired补充道,至少有32万个 Plum A+ 模式的输液泵安装在世界各地的医院中。尽管Rios还没有检测其他模式的漏洞,但是他怀疑公司的Plum A+3模式的输液泵,Sapphire模式和SapphirePlus模式的输液泵都存在不同程度的漏洞。