一个病人躺在医院的病床上,等待医学专家进行血气分析。病人几乎不知道他的个人信息也在进行手术。
据TrapX Security公司称,存储患者数据的数据库未加密,使用了默认密码,漏洞的性质也很基本。该公司后来被要求在这家未具名医院重新创建和诊断问题。这家技术研究公司最近在一份名为“医疗设备劫持剖析”的报告中公布了他们的研究结果。这家保安公司拒绝透露接受检查的三家医院的名称,只说它们位于美国西部和东北部
“该TrapX实验室网络开发团队能够远程更改读数在利用血液气体分析仪。我们可以随意更改数据库中的记录。血气分析仪往往在重症监护室中使用。这些患者一般都相当厉害,所以用设备的操作的任何干扰可能产生负面后果,”摩西·本 - 西蒙,共同创始人和TrapX安全的副总裁补充说,他们没有任何的网络攻击活动的证据身体伤害病人。
自2016年开始,几家医院和医疗机构的牺牲品,以勒索软件攻击,包括MedStar保健,堪萨斯州心脏病医院和好莱坞长老会医院。个人身份信息(PII)和医疗记录的价值是信用卡数据的10到20倍。
网络安全公司Dell安全工程指出,网络犯罪分子得到报酬$ 20到医疗保险凭证,40 $以$ 1 $ 2之前的目标违反美国信用卡号码进行比较。
黑市上满是待售的PII。本-西蒙说,网络犯罪分子利用这些记录来伪造身份,获取信用卡和申请信用卡,以及提交虚假的纳税申报单。
“记录也使受害者的财务账户,包括银行账户,信用卡账户,更欺骗存取。医疗记录是网络攻击的目标上方,”他说。
从报告:“医疗设备已成为医疗网络中的攻击者的主要支点。他们在医疗机构的脆弱性,甚至当攻击者妥协确定补救最难区可见点。这些持续的网络攻击威胁到整体的医院运营和患者数据的安全性“。
TrapX是在调查一MEDJACK攻击,可能会影响多达10家医院的中央,本 - 西蒙说。其细节将在RSA在下周上MEDJACK TrapX披露会议上提交。
据TrapX最近的研究报告,其中超过500病历报告为破坏的主要攻击的数量涨幅超过50%,2015至2016年。
“每家医院的损害程度各不相同。几乎在所有情况下,网络攻击者无一例外地专注于窃取患者记录,用于转售和经济收益,”他说。
医院解释说,他们没有感觉到任何对病人可见的恶意软件感染或持续威胁。医院拥有一整套强大的网络防御产品,包括防火墙、入侵检测(基于启发式)、端点安全和防病毒。TrapX发现,医疗IT团队包括一个由几名经验丰富的网络技术人员组成的团队。
TrapX说,法医证据表明,攻击者继续通过医院的网络移动寻找适当的目标。这些都是单独感染,现在已经启用后门进了医院网络。
摩西·本 - 西蒙,TrapX安全的共同创始人和副总裁
随后确定机密数据的医院正在exfiltrated在欧洲内部的位置。虽然数据泄露被确定,仍存在许多不确定性的数据记录是如何围绕exfiltrated。
TrapX发现宙斯和Citadel的恶意软件被用来寻找在医院内的其他密码。
“在某些情况下,我们了解到,医院关注的是,意外影响设备的正常运行带来的责任。加载更新和/或其他软件的效果不会完全知道或了解,” TrapX报道,指的是责任和参与的医疗设备更新软件可能导致的后果。
图像的脆弱
在第二医疗机构,TrapX识别这个横向运动的来源是图片存档和通信系统,其具备存储和访问来自多个源的派生图像放射科(PACS)。这些图像来源包括CT扫描仪,MRI扫描仪,便携式X射线机和超声波设备。该PACS系统是中央对医院运营,并链接到医院的休息访问重要意象。
TrapX发现感染源于护士工作站。机密数据的医院正在exfiltrated贵阳,中国的位置。最终用户在冲浪的恶意网站,其中他们重定向到加载一个java另一个恶意链接的医院利用到该用户的浏览器。这使攻击者运行远程命令,并注入恶意软件提供用于横向移动后门访问。
“(这些记录)是最完整、最详细的个人资料,因此也是最有价值的。每一个被攻破的系统都提供了一个窃取数据的机会,以及可能进入网络上其他系统的机会。”如果不进行备份,攻击者可能会导致数据完全丢失。即使进行备份,在新恢复的可运行医疗保健医疗系统中正确地重新创建数据文件的成本也很高。”
X光透视
TrapX发现攻击者安装在位于医院的X射线系统的一个内部的后门。X射线的错读可能导致丢失需要治疗的传送,或者提供了错误的治疗。TrapX研究人员发现,在所有三级医院的医疗设备是由两种类型的复杂攻击,感染:与的Shellcode传递的散列技术,两者都是旨在利用没有最新的安全更新旧版操作系统。
医院通常会在“防火墙后”安装医疗设备,因为人们相信这些设备是安全的、受保护的。内部网络防护一般包括防火墙、基于签名的杀毒软件等防护、其他端点和入侵安全等。
该安全漏洞,使得MEDJACK有效的是,大部分的“保护网”,在信息技术的网络防御的不能在医疗设备上运行。网络防御只能在服务器和工作站(个人电脑),他们周围上运行。一旦攻击者可以进入网络并绕过现有的安全,他们有一个时间窗口来感染医疗设备和该保护(安全)港内建立一个后门。
“MEDJACK给全球主要医疗机构带来了完美风暴。健康信息技术团队依赖于制造商在设备内构建和维护安全性。医疗设备本身没有必要的软件来检测MEDJACK攻击提供的大部分软件有效载荷。最后,医院建立的标准网络安全环境,不管它可能有多有效,都无法访问医疗设备的内部软件操作,”TrapX security执行副总裁兼总经理Carl Wright说。
根据TrapX的说法,攻击者利用了shellcode技术来开发大量的医疗设备,包括一个肿瘤放射系统、一个三部曲Linac门禁系统、一个flouroradiology系统和一个x光机。在攻击过程中,恶意软件在网络中移动,通过利用一小部分代码作为有效负载来利用软件漏洞,从而将恶意代码注入恶意软件陷阱。然后,这个复杂的攻击调用文件传输来加载适当的文件,以设置额外的命令和控制函数。
是什么让这个独特的攻击是攻击者的复杂的工具进行伪装是用于初次分配矢量一个彻头彻尾的最新MS08-067蠕虫病毒的包装内,使恶意软件在网络之间成功移动。观察模式后,TrapX研究人员认为,袭击者有意打包工具针对老年,更容易受到Windows XP或Windows 7操作系统没有足够的终端网络防御。通过过时的蠕虫代码屏蔽新的工具,攻击者还能够躲闪安全警报通过最多最新的终端网络防御安装在标准的医院工作站。
此外,TrapX发现正在使用一个传递的哈希技术利用在医院的PACS漏洞,以及多个供应商的计算机服务器和存储单元。一个传递的哈希技术允许攻击者使用底层NTLM(微软NT LAN管理程序)用户的密码,而不是明文口令的散列身份验证凭证到远程服务器或服务。从那里,攻击者可以再拦截网络流量。研究人员发现,袭击者的MRI系统,它反过来又攻击了该PACS系统服务器中创建一个后门。
作为二○一五年三月三十○日,身份盗窃资源中心(ITRC)所示的医疗违反事件,因为所有事件的32.7%全国的。
“攻击者知道网络上的医疗设备是入门的最简单和最脆弱点。该MEDJACK旨在迅速渗透这些设备,建立指挥和控制,然后用这些作为支点劫持和来自全国各地的医疗机构exfiltrate数据,”本 - 西蒙说。
而最关键的病人数据根据联邦健康保险流通与责任法案(HIPAA)保护,执法水平,从状态变化到状态,指出TrapX。“这不能始终如一地执行安全策略[姿势]险医疗机构和应变有限的安全资源,从而为网络攻击者一个简单而脆弱的目标。”
此外,尽管许多医疗机构已经实现了最新的操作系统,但许多机构没有定期更新操作系统和/或设备自带的默认管理密码。
TrapX实验室建议医院工作人员审查并更新他们与医疗设备供应商的合同。“它们必须包括关于检测、修复和翻新出售给医院的被恶意软件感染的医疗设备的非常具体的语言。他们必须有文件证明的测试过程,以确定他们是否被感染,并有文件证明的标准过程,以纠正和重建他们时,恶意软件和网络攻击者使用的设备,”Ben-Simon说。
这个故事,“医院设备离开脆弱,离开病人慎用”最初发表CSO 。