Смерть пацієнтки у ФРН на сумлінні російських хакерів?
24 вересня 2020 р.Одна година. Стільки додаткового часу знадобилося машині швидкої допомоги в ніч з 11 на 12 вересня, щоб доставити хвору жінку у важкому стані з Дюссельдорфа на заході Німеччини в сусідній Вупперталь. За день до цього університетська клініка Дюссельдорфа стала об'єктом хакерської атаки - доступ до 30 серверів був зашифрований. Врятувати пацієнтку похилого віку не вдалося. Тепер крім підозри в спробі вимагання та комп'ютерному саботажі прокуратурі належить з'ясувати, чи було це ненавмисним вбивством, відповідальність за яке, як вважають в міністерстві юстиції федеральної землі Північний Рейн-Вестфалія, можуть нести хакери, чиї сліди ведуть до Росії. Найбільша клініка Дюссельдорфа виявилася паралізованою майже на два тижні й лише в середу, 23 вересня, відновила прийом невідкладних пацієнтів.
Це перший випадок у Німеччині, коли напад хакерів на об'єкт так званої критичної інфраструктури, можливо, призвів до людських жертв. Про наслідки для тих, кому довелося перенести заплановані операції або амбулаторне лікування, можна тільки здогадуватись. Що стосується пацієнтів стаціонару, то, як заявила клініка в перші години після атаки, їх забезпечення було "гарантовано".
Що відомо про хакерську атаку на клініку в Дюссельдорфі
Про те, що насправді відбулося, громадськості стало відомо 17 вересня, тобто через тиждень після нападу. Стільки часу пішло на перевірку цієї версії правоохоронними органами та фахівцями з комп'ютерної безпеки.
Перші офіційні подробиці тоді озвучив у доповіді для земельного парламенту міністр юстиції Петер Бізенбах (Peter Biesenbach). Згідно з доповіддю, яку цитує преса, йшлося про вимагання. Хакери залишили на одному з зашифрованих серверів звернення без зазначення конкретної суми, але з вимогою вступити з ними в контакт. При цьому звернення було адресоване не клініці, а університету Дюссельдорфа. На підставі цього правоохоронні органи припустили, що хакери помилилися адресою, і вказали їм на це, зазначивши, що такі дії загрожують життю людей. У відповідь вимагачі надіслали ключ для зняття шифрування і більше на зв'язок не виходили.
У наступному звіті, підготовленому мін'юстом для земельного парламенту, з'явилися нові подробиці. Про цей документ стало відомо у вівторок, 22 вересня. У ньому зазначається, що хакери нібито скористались діркою у програмному забезпеченні американської компанії Citrix, про яку сама компанія повідомила в грудні 2019 року. У січні 2020 року компанія випустила оновлення, яке усунуло проблему. Тоді ж, у січні, Федеральне відомство з безпеки у сфері інформаційних технологій (BIS) попередило про небезпеку й закликало негайно встановити захист. Університет, за його твердженнями, зробив це негайно, але у хакерів було як мінімум вікно в кілька тижнів, щоб встановити свою шпигунську програму.
Повідомляється, що конкретно злочинці використали вірус-шифрувальник DoppelPaymer, який неодноразово застосовувався в усьому світі проти фірм та інститутів групою хакерів імовірно з Російської Федерації. При цьому мін'юст Північного Рейну-Вестфалії послався на "оцінки приватних компаній в сфері безпеки".
Хто може стояти за вірусом DoppelPaymer
Вірус, який назвали DoppelPaymer, - відносно новий, він відомий з середини 2019 року. Одна з компаній, котрі займалися його детальним вивченням, - CrowdStrike з США, один зі світових лідерів на ринку кібербезпеки. Як розповів DW Адам Маєрс, старший віцепрезидент з питань збору та аналізу інформації в компанії CrowdStrike, група хакерів DoppelPaymer імовірно відкололася від іншої групи, Indrik Spider. Маєрс говорить про Indrik Spider як про "кримінальне підприємство, яке спочатку займалося банківським шахрайством і крадіжкою облікових даних і перейшло до атак з метою викупу". За його словами, деякі члени групи клянуться, що не атакують лікарні, але не всі.
Гая Шульман (Haya Shulman) очолює відділ з кібербезпеки в інституті імені Фраунгофера в Дармштадті. "Істотною відмінністю DoppelPaymer є те, що він використовується вручну, тобто ним керують люди, це не автоматична програма", - зазначила Шульман у розмові з DW. За її словами, особливість вірусу також полягає в тому, що він використовується не тільки для шифрування, але й для розкрадання даних, а хакери згодом використовують вкрадену інформацію для шантажу, погрожуючи її опублікувати. Клініка в Дюссельдорфі заявила, що, за попередніми даними, нічого викрадено не було, але Шульман зазначає, що виявити це складно, тим більше - минув час.
Читайте також: ЄС уперше покарав Росію за хакерські атаки
Наскільки можна бути впевненим, що сліди хакерів ведуть до Росії? Прямих доказів немає. "Ми мало знаємо про те, хто стоїть за DoppelPaymer, - каже Адам Маєрс з CrowdStrike. - Ми підозрюємо, що вони знаходяться в Східній Європі, швидше за все, в Росії". За його словами, на це вказує кілька чинників: те, що жертви хакерів в основному перебувають за межами колишнього СРСР, а також те, що деякі учасники групи Indrik Spider діяли з Росії. Він зазначив, що з цього регіону працюють кілька груп хакерів, "пов'язаних з цим видом діяльності", деякі з них засуджені американськими органами юстиції.
Того, що хакери, котрі атакували клініку в Дюссельдорфі, можуть бути росіянами, не виключає і Гая Шульман. Вона каже, що вірус, за даними західних компаній, створили в Росії, але самі хакери можуть перебувати і в інших країнах. За її словами, достовірно довести, з якої конкретно країни була організована атака дуже складно, оскільки хакери можуть використовувати чужі комп'ютери.
Клініка - випадкова жертва або об'єкт інтересу?
Поки що в Німеччині інцидент з клінікою в Дюссельдорфі не отримав широкого розголосу. Одна з можливих причин: представники влади, судячи з заяв, схиляються до того, що клініка стала випадковою жертвою. Експерти не виключають цього, зауважуючи, що напади на університети - не рідкість. За кілька днів до атаки в Дюссельдорфі вірус DoppelPaymer був застосований проти університету в британському Ньюкаслі. Як зазначає Шульман, проникнути в комп'ютерну мережу університету простіше, ніж у мережу приватної компанії, оскільки виші витрачають менше грошей на захист від вірусів. Крім того, в університетських мережах багато користувачів, що спрощує розсилку шпигунських мейлів.
Але припущення про помилку хакерів суперечить двом особливостям вірусу DoppelPaymer, а саме - його ручним керуванням, яке дає хакерам можливість вибирати, куди саме вони збираються проникнути, і можливістю потай збирати інформацію. Якщо врахувати, що у зловмисників було достатньо часу для того, щоб зрозуміти, куди вони потрапили, можна припустити, що їхньою справжньою метою могла бути саме клініка і, наприклад, дані про коронавірус. Гая Шульман каже, що такий варіант можливий, але це - лише припущення.