Смерть пациентки в Германии после атаки на клинику русских хакеров

Смерть пациентки в Германии после атаки на клинику русских хакеров

26 сентября 2020 г.

Ксения Жукова

В Германии расследуют нападение предположительно российских хакеров на университетскую клинику Дюссельдорфа. Это первый случай, когда, возможно, в результате атаки погибла пациентка.

Один час. Столько дополнительного времени понадобилось машине скорой помощи в ночь с 11 на 12 сентября, чтобы доставить больную женщину в тяжелом состоянии из Дюссельдорфа на западе Германии в соседний Вупперталь. За день до этого университетская клиника Дюссельдорфа стала объектом хакерской атаки — доступ к 30 серверам был зашифрован. Спасти пожилую пациентку не удалось, отмечает DW.

Теперь помимо подозрения в попытке вымогательства и компьютерном саботаже прокуратуре предстоит выяснить, было ли это неумышленное убийство, ответственность за которое, как считают в министерстве юстиции федеральной земли Северный Рейн-Вестфалия, могут нести хакеры, чьи следы ведут в Россию. Крупнейшая клиника Дюссельдорфа оказалась парализована почти на две недели и лишь в среду, 23 сентября, возобновила прием неотложных пациентов.

Это первый случай в Германии, когда нападение хакеров на объект так называемой критической инфраструктуры, возможно, привело к человеческим жертвам. О последствиях для тех, кому пришлось перенести запланированные операции или амбулаторное лечение, можно только гадать. Что касается пациентов стационара, то, как заявила клиника в первые часы после атаки, их обеспечение было «гарантировано».

Что известно о хакерской атаке на клинику в Дюссельдорфе

О том, что на самом деле произошло, общественности стало известно 17 сентября, то есть через неделю после нападения. Столько времени ушло на проверку этой версии правоохранительными органами и специалистами по компьютерной безопасности.

Университетская клиника в Дюссельдорфе

Первые официальные подробности тогда озвучил в докладе для земельного парламента министр юстиции Петер Бизенбах (Peter Biesenbach). Согласно докладу, который цитирует пресса, речь шла о вымогательстве. Хакеры оставили на одном из зашифрованных серверов послание без указания конкретной суммы, но с требованием вступить с ними в контакт. При этом послание было адресовано не клинике, а университету Дюссельдорфа. На основании этого правоохранительные органы предположили, что хакеры ошиблись адресом, и указали им на это, отметив, что такие действия угрожают жизни людей. В ответ вымогатели прислали ключ для снятия шифрования и больше на связь не выходили.

В следующем докладе Минюста земельному парламенту, о котором стало известно во вторник, 22 сентября, появились новые подробности. Так, хакеры якобы использовали брешь в программном обеспечении американской компании Citrix, о которой сама компания сообщила в декабре 2019 года. В январе 2020 года компания выпустила обновление, которое устранило проблему. Тогда же, в январе, Федеральное ведомство по безопасности в сфере информационных технологий (BIS) предупредило об опасности и призвало немедленно установить защиту. Университет, по его утверждениям, сделал это немедленно, но у хакеров было как минимум окно в несколько недель, чтобы установить свою шпионскую программу.

Сообщается, что конкретно был использован вирус-шифровальщик DoppelPaymer, который неоднократно применялся во всем мире против фирм и институтов группой хакеров предположительно из Российской Федерации. При этом Минюст Северного Рейна-Вестфалии сослался на «оценки частных компаний в сфере безопасности».

Кто может стоять за вирусом DoppelPaymer

Вирус, которому дали название DoppelPaymer, — относительно новый, он известен с середины 2019 года. Одна из компаний, которые занимались его детальным изучением, — CrowdStrike из США, один из мировых лидеров на рынке кибербезопасности. Как рассказал DW Адам Майерс, старший вице-президент по вопросам сбора и анализа информации в компании CrowdStrike, группа хакеров DoppelPaymer предположительно откололась от другой группы, Indrik Spider. Майерс описывает Indrik Spider как «криминальное предприятие, которое изначально занималось банковским мошенничеством и воровством учетных данных и перешло к атакам с целью выкупа». По его словам, некоторые члены группы клянутся, что не атакуют больницы, но не все.

Хая Шульман

Хая Шульман (Haya Shulman) возглавляет отдел по кибербезопасности в институте имени Фраунгофера в Дармштадте. «Существенным отличием DoppelPaymer является то, что он используется вручную, то есть им управляют люди, это не автоматическая программа», — отметила Шульман в беседе с DW. По ее словам, особенность вируса также заключается в том, что он используется не только для шифрования, но и для хищения данных, а хакеры впоследствии используют украденную информацию для шантажа, угрожая ее опубликовать. Клиника в Дюссельдорфе заявила, что, по предварительным данным, ничего похищено не было, но Шульман отмечает, что обнаружить это сложно, тем более — прошло время.

Насколько можно быть уверенным, что следы хакеров ведут в Россию? Прямых доказательств нет. «Мы мало знаем о том, кто стоит за DoppelPaymer, — говорит Адам Майерс из CrowdStrike. — Мы подозреваем, что они находятся в Восточной Европе, скорее всего, в России». По его словам, на это указывает несколько факторов — то, что жертвы хакеров в основном находятся за пределами бывшего СССР, а также то, что некоторые участники группы Indrik Spider действовали из России. Он отметил, что из этого региона работают несколько групп хакеров, «связанных с этим родом деятельности», некоторые из них осуждены американскими органами юстиции.

Того, что хакеры, атаковавшие клинику в Дюссельдорфе, могут быть русскими, не исключает и Хая Шульман. Она говорит, что вирус, по данным западных компаний, был создан в России, но сами хакеры могут находиться и в других странах. По ее словам, достоверно доказать, из какой конкретно страны была организована атака очень сложно, поскольку хакеры могут использовать чужие компьютеры.

Клиника — случайная жертва или объект интереса?

Пока в Германии инцидент с клиникой в Дюссельдорфе не получил широкой огласки. Одна из возможных причин: власти, судя по заявлениям, склоняются к тому, что клиника стала случайной жертвой. Эксперты не исключают этого, отмечая, что нападения на университеты — не редкость. За несколько дней до атаки в Дюссельдорфе вирус DoppelPaymer был применен против университета в британском Ньюкасле. Как отмечает Шульман, проникнуть в компьютерную сеть университета проще, чем в сеть частной компании, поскольку вузы тратят меньше денег на защиту от вирусов. Кроме того, в университетских сетях много пользователей, что упрощает рассылку шпионских мейлов.

Но предположение об ошибке хакеров не сходится с двумя особенностями вируса DoppelPaymer, а именно — его ручным управлением, которое дает хакерам возможность выбирать, куда именно они собираются проникнуть, и возможностью втайне собирать информацию. Если учесть, что у злоумышленников было достаточно времени для того, чтобы понять, куда они попали, можно предположить, что их истинной целью могла быть именно клиника и, например, данные о коронавирусе. Хая Шульман говорит, что такой вариант возможен, но это — лишь qhiqquiqdtiehkmp предположение.

Автор: Роман Гончаренко; DW