一个病人躺在医院的病床上,等待医疗专业人员进行血气分析。病人不知道他的个人信息也正在接受检查。
据TrapX Security称,存储患者数据的数据库没有加密,使用的是默认密码,漏洞的本质很简单。后来,该公司在这家未具名的医院调用TrapX Security重新创建并诊断问题。这家技术研究公司最近在一份名为“医疗设备劫持(MEDJACK)”的报告中公布了他们的发现。这家安全公司拒绝透露其检查的三家医院的名称,只是说它们位于美国西部和东北部
“该TrapX实验室网络开发团队能够远程更改读数在利用血液气体分析仪。我们可以随意更改数据库中的记录。血气分析仪往往在重症监护室中使用。这些患者一般都相当厉害,所以用设备的操作的任何干扰可能产生负面后果,”摩西·本 - 西蒙,共同创始人和TrapX安全的副总裁补充说,他们没有任何的网络攻击活动的证据身体伤害病人。
自2016年开始,几家医院和医疗机构的牺牲品,以勒索软件攻击,包括MedStar保健,堪萨斯州心脏病医院和好莱坞长老会医院。个人可识别信息(PII)和医疗记录的价值是信用卡数据的10到20倍。
网络安全公司Dell Secure Works指出,网络罪犯可以从医疗保险凭证中获得20到40美元的报酬,相比之下,在塔吉特黑客入侵之前,从美国信用卡号码中获得的报酬只有1到2美元。
黑市充满PII出售。网络犯罪分子使用这些记录来创建假身份,以获得贷款,申请信用卡,并提交虚假的纳税申报,本 - 西蒙说。
“记录也使受害者的财务账户,包括银行账户,信用卡账户,更欺骗存取。医疗记录是网络攻击的目标上方,”他说。
报告称:“医疗设备已成为攻击者在医疗网络中的关键支点。它们是医疗保健企业中可见的漏洞点,也是即使识别出攻击者的危害也最难补救的地方。这些持续的网络攻击威胁着医院的整体运营和患者数据的安全。”
TrapX是在调查一MEDJACK攻击,可能会影响多达10家医院的中央,本 - 西蒙说。其细节将在RSA在下周上MEDJACK TrapX披露会议上提交。
根据TrapX最近的研究报告,从2015年到2016年,有超过500名患者记录的重大攻击事件的数量上升了50%以上。
“造成的伤害提高医院的不同而不同。在几乎所有情况下,无一例外的网络攻击都集中在偷转售和经济利益,病人的病历,”他说。
医院解释说,他们没有感觉到任何类型的恶意软件感染或持续的威胁,对病人可见。这家医院拥有一整套强大的网络防御产品,包括防火墙、入侵检测(基于启发式方法)、端点安全和防病毒软件。TrapX发现,医疗保健IT团队包括一个由几名经验丰富的网络技术人员组成的团队。
TrapX说,法医证据显示,袭击者继续在医院的网络中寻找合适的目标。这些都是单独感染的,现在已经开启了进入医院网络的后门。
Moshe Ben-Simon, TrapX Security的联合创始人和副总裁
随后确定机密数据的医院正在exfiltrated在欧洲内部的位置。虽然数据泄露被确定,仍存在许多不确定性的数据记录是如何围绕exfiltrated。
TrapX发现宙斯和城堡恶意软件被用来在医院内寻找额外的密码。
“在某些情况下,我们理解医院担心意外影响设备的正确运行会带来责任。装载更新和/或附加软件的影响永远都不会完全被知道或理解,”TrapX报告说,指的是在医疗设备上更新软件所涉及的责任和可能的后果。
漏洞的图片
在第二个医疗保健机构中,TrapX确定了这种横向移动的来源是图像档案和通信系统(PACS),它为放射科提供存储和访问来自多个来源的图像的功能。这些图像来源包括CT扫描仪、MRI扫描仪、便携式x光机和超声波设备。PACS系统是医院操作的中心,并与医院的其他部分相连,以获取重要图像。
TrapX发现感染起源于护士工作站。医院的机密数据被泄露到中国贵阳的一个地方。医院里的一个终端用户浏览了一个恶意网站,该网站将他们重定向到另一个恶意链接,该链接将一个java漏洞加载到该用户的浏览器中。这使得攻击者可以运行远程命令并注入恶意软件,为横向移动提供后门访问。
“(这些记录)是最完整、最详细的个人资料,因此最有价值。”每一个被攻破的系统都提供了一个窃取数据的机会,以及进入网络上其他系统的可能性。”Ben-Simon说。“攻击者可能导致数据完全丢失,如果没有备份的话。”即使备份,在新恢复的可运行医疗保健系统中正确重新创建数据文件的成本也很高。”
透视眼
TrapX发现攻击者安装在位于医院的X射线系统的一个内部的后门。X射线的错读可能导致丢失需要治疗的传送,或者提供了错误的治疗。TrapX研究人员发现,在所有三级医院的医疗设备是由两种类型的复杂攻击,感染:与的Shellcode传递的散列技术,两者都是旨在利用没有最新的安全更新旧版操作系统。
医院通常将医疗设备安装在“防火墙后面”,认为这样做是安全的、受保护的。网络内部保护一般包括防火墙、基于签名的防病毒软件、其他端点和入侵安全等。
MEDJACK有效的安全漏洞在于,“受保护网络”中的大多数信息技术网络防御无法在医疗设备上运行。网络防御只能在它们周围的服务器和工作站(个人电脑)上运行。一旦攻击者可以进入网络,绕过现有的安全措施,他们就有一个时间窗口来感染医疗设备,并在这个受保护(和安全)的港口内建立后门。
“MEDJACK给全球主要医疗机构带来了完美风暴。健康信息技术团队依赖制造商来构建和维护设备内部的安全性。医疗设备本身就是没有必要的软件来检测大部分由MEDJACK攻击交付的软件有效载荷。最后,医院建立的标准网络安全环境,无论它有多有效,都无法访问医疗设备的内部软件操作,”TrapX security执行副总裁兼总经理Carl Wright说。
根据TrapX的说法,攻击者利用shellcode技术开发了大量的医疗设备,包括一个放射肿瘤学系统、一个三联线性门控系统、一个放射检查系统和一个x光机。在攻击过程中,恶意软件在网络内移动,通过利用一小部分代码作为有效载荷来利用软件漏洞,将恶意代码注入恶意软件陷阱。然后,这种复杂的攻击调用文件传输来加载适当的文件,以设置额外的命令和控制功能。
这种攻击的独特之处在于,攻击者的复杂工具被隐藏在一个过时的MS08-067蠕虫包装器中,用来作为初始分布向量,使恶意软件能够在网络之间成功移动。在观察到这种模式后,TrapX的研究人员得出结论,攻击者有意将工具打包,目标是较老的、更脆弱的Windows XP或Windows 7操作系统,缺乏足够的终端网络防御。通过在过时的蠕虫病毒代码中隐藏新工具,攻击者还能够避开安装了最新端点网络防御系统的标准医院工作站发出的安全警报。
此外,TrapX发现正在使用一个传递的哈希技术利用在医院的PACS漏洞,以及多个供应商的计算机服务器和存储单元。一个传递的哈希技术允许攻击者使用底层NTLM(微软NT LAN管理程序)用户的密码,而不是明文口令的散列身份验证凭证到远程服务器或服务。从那里,攻击者可以再拦截网络流量。研究人员发现,袭击者的MRI系统,它反过来又攻击了该PACS系统服务器中创建一个后门。
截至2015年3月30日,身份盗窃资源中心(ITRC)显示,医疗泄露事件占全国所有事件的32.7%。
“攻击者知道网络上的医疗设备是入门的最简单和最脆弱点。该MEDJACK旨在迅速渗透这些设备,建立指挥和控制,然后用这些作为支点劫持和来自全国各地的医疗机构exfiltrate数据,”本 - 西蒙说。
TrapX指出,尽管大多数关键的患者数据受到联邦健康保险和便携性与责任法案(HIPAA)的保护,但各州的执行水平各不相同。“无法持续执行安全政策,给医疗机构带来了风险,给有限的安全资源带来了压力,从而成为网络攻击者容易攻击的目标。”
另外,尽管许多医疗保健机构已经实现了最新的操作系统,但许多机构没有定期更新操作系统和/或默认的管理密码。
TrapX实验室建议医院员工审查并更新他们与医疗设备供应商的合同。“它们必须包含非常具体的语言,关于检测、修复和翻新出售给医院的感染了恶意软件的医疗设备。他们必须有一个文件化的测试过程来确定他们是否被感染,以及一个文件化的标准过程来在恶意软件和网络攻击者使用这些设备时进行补救和重建。”
这个故事,“医院设备离开脆弱,离开病人慎用”最初发表CSO 。