קספרסקי: "במרבית הארגונים הרפואיים יש סוג מסוים של קוד זדוני בשרתים או במחשבים"
עמי רוחקס דומבה
| 18/03/2018
bigstockphoto
בוועידת האנליסטים של 2017 חזינו כי רשתות רפואיות יהפכו ל"מטעמים" עבור עברייני הסייבר. לרוע המזל – צדקנו. מספר הפריצות והדליפות של נתונים רפואיים גדל בשנה זו, ועל פי נתונים ציבוריים, הדברים לא ישתנו גם ב- 2018. במהלך השנה האחרונה ראינו את עברייני הסייבר מצפינים נתונים רפואיים ודורשים עבורם כופר, חודרים לרשתות ציבוריות ומחלצים מידע רפואי, ומנצלים מידע רפואי הזמין במשאבים פתוחים לציבור.
הדלת הפתוחה של הרשתות הרפואיות
כדי לבדוק מהן נקודות החדירה האפשריות לתשתית רפואית שלפנו את הטווחים של כתובות ה- IP של כל הארגונים שבשם שלהם מופיעות מילות המפתח "רפואי", "קליני", "ניתוח" ו"שירותי בריאות". לאחר מכן התחלנו סריקת פורטים (masscan) וחיפשנו במנועי החיפוש הייעודיים לכך (כגון Shodan ו- Censys) אחר משאבים הזמינים לציבור בארגונים אלה.
כמובן שנקודות הקצה של הארגונים אלה מכילות הרבה פורטים ושירותים שהיו צפויים להיות פתוחים: כגון שרתי רשת, שרתי DNS, שרתי דואר אלקטרוני, ועוד. ואנחנו יודעים שזה רק קצה הקרחון. הדבר המעניין ביותר הוא הפורטים הבלתי צפויים. שמנו בצד גם את השירותים שצפויים להיות פתוחים, מכיוון שכפי שהזכרנו במאמר קודם שירותים אלה אינם מעודכנים וזקוקים להפעלת עדכונים. לדוגמא, אפליקציות רשת של רשומות רפואיות אליהן הגענו בקצה הרשת ברוב המקרים לא היו מעודכנות.
באמצעות הכלי Ztag ו- Censys זיהינו שירותים הוסתרו מאחורי הפורטים שסרקנו. אם יורדים לעומק ה- embedded tag מגיעים לדברים שונים, כגון מדפסות, מערכות SCADA ו- NAS.
מעבר לדברים שציפינו למצוא, איתרנו גם מערכות ניהול בניינים שאינן מעודכנות: מכשירים המשתמשים בפרוטוקול Niagara Fox שבדרך כלל פועל על פורטים 1911 ו-4911, מאפשרים לאסוף מרחוק מידע, כגון שם האפליקציה, גרסת ג'אווה, מערכת הפעלה מארחת, אזור זמן, כתובת IP מקומית, וגרסאות תוכנה הכלולות במערך.
נמצאו גם מדפסות בעלות ממשק מקוון שאינו דורש אימות. לוח הבקרה שלהן, הזמין ברשת, מאפשר לך לקבל מידע אודות רשתות ה- Wi-Fi, וסביר להניח שהוא גם מאפשר לך לאסוף מידע אודות המסמכים המופיעים בלוגים של "אחסון עבודות ההדפסה".
Shodan הראה לנו שחלק מהארגונים הרפואיים פתחו פורט 2000 – המשויך ל...קומקום חכם. אנחנו לא יודעים למה, אבל המודל הזה של קומקום נפוץ מאוד בארגונים רפואיים. ברשת ניתן למצוא מידע אודות הפרצות בקומקום, שמאפשרות חיבור פשוט ואיסוף מידע אודות קישוריות ה- Wi-Fi.
בתשתית רפואית יש הרבה מאוד מכשירים רפואיים, וחלק מהם ניידים. כדי לתקשר עם מכשירים אחרים, מכשור לצורך מדידת נשימה או לחץ דם תומך בפרוטוקול MQTT. אחד מהרכיבים המרכזיים של תקשורת MQTT, מתווכים (brokers – ראה כאן מידע מפורט), זמין דרך הרשת ומאפשר לאתר דרכה חלק מהמכשור הרפואי.
איומים המשפיעים על רשתות רפואיות
או קיי, כעת אנו יודעים כיצד הם חודרים. מה הצעד הבא? האם הם מחפשים אחר מידע אישי או רוצים לקבל כסף באמצעות דמי כופר, או אולי הם מחפשים משהו אחר? הכל אפשרי. בואו נבחן את המספרים שנאספו במהלך 2017. הסטטיסטיקה מדאיגה. ביותר מ- 60% מהארגונים הרפואיים יש סוג מסוים של קוד זדוני בשרתים או במחשבים. החדשות הטובות הן שאם אנו סופרים כאן משהו, אז המשמעות היא שמחקנו אותו מהמערכת.
יש משהו מעניין אף יותר: ארגונים כגון חברות בתעשיית התרופות, אשר מחוברים לבתי חולים, מרפאות ורופאים. כאן אנו רואים מתקפות רבות אף יותר. תעשיית התרופות משמעה "כסף", לכן מדובר במוקד משיכה נוסף עבור התוקפים.
בואו נחזור למטופל המרכזי שלנו... היכן נערכות כל ההתקפות האלה על בתי חולים ומרפאות? כאן אנו נעזרים במספרים יחסיים: חילקנו את מספר המכשירים בארגונים רפואיים בכל מדינה המשתמשים באנטי וירוס שלנו במספר המכשירים בהם זיהינו קוד זדוני. 3 המובילים שעלו הם הפיליפינים, ונצואלה ותאילנד. יפן, ערב הסעודית ומקסיקו, סגרו את רשימת 15 המובילים.
אנו רואים שהסיכויים להתקפה קשורים בהחלט בכמות הכסף הממשלה מוציאה על אבטחת סייבר במגזר הציבורי וברמת המודעות. בתעשיית התרופות קיבלנו תמונה שונה לחלוטין. המקום הראשון שייך לבנגלדש. חיפוש של הנושא בגוגל מסביר היטב את הסטטיסטיקה. בנגלדש מייצאת תרופות לאירופה. במרוקו, תעשיית התרופות מהווה 14% מה- GDP. גם הודו נמצאת ברשימה, ואפילו מספר מדינות באירופה.
ב- 1 מ- 10 מכשירים, ביותר מ- 25% מהחברות הרפואיות וב- 10% מחברות התרופות, זיהינו כלי פריצה: כלי בדיקות חדירה כגון Mimikatz, Meterpreter, כלים לניהול מרחוק שהונדסו מחדש, ועוד. המשמעות היא או שארגונים רפואיים הם, או מאוד בשלים מבחינת אבטחת סייבר, ומבצעים בחינות קבועות של התשתית שלהם באמצעות צוותים ובודקי חדירה מקצועיים, או, וזה סביר יותר, שהרשתות שלהם שורצות בהאקרים.
במסגרת המחקר מצאנו קורבנות בדרום מזרח אסיה, ובעיקר בויטנאם ובנגלדש, של קבוצות APT (ריגול מתמשך), שחילצו מידע באמצעות הקוד הזדוני PlugX או Cobalt Strike. כלי PlugX RAT משמש קבוצת ריגול דוברות סינית, ומאפשר לה להעתיק ולשנות קבצים, לאסוף לחיצות מקשים, לגנוב סיסמאות וללכוד צילומי מסך. לאור העובדה שהקוד הזדוני הושתל בשרתים של חברות תרופות, ניתן לשער כי התוקפים מחפשים נכסי IP או תוכניות עסקיות.
bigstockphoto
בוועידת האנליסטים של 2017 חזינו כי רשתות רפואיות יהפכו ל"מטעמים" עבור עברייני הסייבר. לרוע המזל – צדקנו. מספר הפריצות והדליפות של נתונים רפואיים גדל בשנה זו, ועל פי נתונים ציבוריים, הדברים לא ישתנו גם ב- 2018. במהלך השנה האחרונה ראינו את עברייני הסייבר מצפינים נתונים רפואיים ודורשים עבורם כופר, חודרים לרשתות ציבוריות ומחלצים מידע רפואי, ומנצלים מידע רפואי הזמין במשאבים פתוחים לציבור.
הדלת הפתוחה של הרשתות הרפואיות
כדי לבדוק מהן נקודות החדירה האפשריות לתשתית רפואית שלפנו את הטווחים של כתובות ה- IP של כל הארגונים שבשם שלהם מופיעות מילות המפתח "רפואי", "קליני", "ניתוח" ו"שירותי בריאות". לאחר מכן התחלנו סריקת פורטים (masscan) וחיפשנו במנועי החיפוש הייעודיים לכך (כגון Shodan ו- Censys) אחר משאבים הזמינים לציבור בארגונים אלה.
כמובן שנקודות הקצה של הארגונים אלה מכילות הרבה פורטים ושירותים שהיו צפויים להיות פתוחים: כגון שרתי רשת, שרתי DNS, שרתי דואר אלקטרוני, ועוד. ואנחנו יודעים שזה רק קצה הקרחון. הדבר המעניין ביותר הוא הפורטים הבלתי צפויים. שמנו בצד גם את השירותים שצפויים להיות פתוחים, מכיוון שכפי שהזכרנו במאמר קודם שירותים אלה אינם מעודכנים וזקוקים להפעלת עדכונים. לדוגמא, אפליקציות רשת של רשומות רפואיות אליהן הגענו בקצה הרשת ברוב המקרים לא היו מעודכנות.
באמצעות הכלי Ztag ו- Censys זיהינו שירותים הוסתרו מאחורי הפורטים שסרקנו. אם יורדים לעומק ה- embedded tag מגיעים לדברים שונים, כגון מדפסות, מערכות SCADA ו- NAS.
מעבר לדברים שציפינו למצוא, איתרנו גם מערכות ניהול בניינים שאינן מעודכנות: מכשירים המשתמשים בפרוטוקול Niagara Fox שבדרך כלל פועל על פורטים 1911 ו-4911, מאפשרים לאסוף מרחוק מידע, כגון שם האפליקציה, גרסת ג'אווה, מערכת הפעלה מארחת, אזור זמן, כתובת IP מקומית, וגרסאות תוכנה הכלולות במערך.
נמצאו גם מדפסות בעלות ממשק מקוון שאינו דורש אימות. לוח הבקרה שלהן, הזמין ברשת, מאפשר לך לקבל מידע אודות רשתות ה- Wi-Fi, וסביר להניח שהוא גם מאפשר לך לאסוף מידע אודות המסמכים המופיעים בלוגים של "אחסון עבודות ההדפסה".
Shodan הראה לנו שחלק מהארגונים הרפואיים פתחו פורט 2000 – המשויך ל...קומקום חכם. אנחנו לא יודעים למה, אבל המודל הזה של קומקום נפוץ מאוד בארגונים רפואיים. ברשת ניתן למצוא מידע אודות הפרצות בקומקום, שמאפשרות חיבור פשוט ואיסוף מידע אודות קישוריות ה- Wi-Fi.
בתשתית רפואית יש הרבה מאוד מכשירים רפואיים, וחלק מהם ניידים. כדי לתקשר עם מכשירים אחרים, מכשור לצורך מדידת נשימה או לחץ דם תומך בפרוטוקול MQTT. אחד מהרכיבים המרכזיים של תקשורת MQTT, מתווכים (brokers – ראה כאן מידע מפורט), זמין דרך הרשת ומאפשר לאתר דרכה חלק מהמכשור הרפואי.
איומים המשפיעים על רשתות רפואיות
או קיי, כעת אנו יודעים כיצד הם חודרים. מה הצעד הבא? האם הם מחפשים אחר מידע אישי או רוצים לקבל כסף באמצעות דמי כופר, או אולי הם מחפשים משהו אחר? הכל אפשרי. בואו נבחן את המספרים שנאספו במהלך 2017. הסטטיסטיקה מדאיגה. ביותר מ- 60% מהארגונים הרפואיים יש סוג מסוים של קוד זדוני בשרתים או במחשבים. החדשות הטובות הן שאם אנו סופרים כאן משהו, אז המשמעות היא שמחקנו אותו מהמערכת.
יש משהו מעניין אף יותר: ארגונים כגון חברות בתעשיית התרופות, אשר מחוברים לבתי חולים, מרפאות ורופאים. כאן אנו רואים מתקפות רבות אף יותר. תעשיית התרופות משמעה "כסף", לכן מדובר במוקד משיכה נוסף עבור התוקפים.
בואו נחזור למטופל המרכזי שלנו... היכן נערכות כל ההתקפות האלה על בתי חולים ומרפאות? כאן אנו נעזרים במספרים יחסיים: חילקנו את מספר המכשירים בארגונים רפואיים בכל מדינה המשתמשים באנטי וירוס שלנו במספר המכשירים בהם זיהינו קוד זדוני. 3 המובילים שעלו הם הפיליפינים, ונצואלה ותאילנד. יפן, ערב הסעודית ומקסיקו, סגרו את רשימת 15 המובילים.
אנו רואים שהסיכויים להתקפה קשורים בהחלט בכמות הכסף הממשלה מוציאה על אבטחת סייבר במגזר הציבורי וברמת המודעות. בתעשיית התרופות קיבלנו תמונה שונה לחלוטין. המקום הראשון שייך לבנגלדש. חיפוש של הנושא בגוגל מסביר היטב את הסטטיסטיקה. בנגלדש מייצאת תרופות לאירופה. במרוקו, תעשיית התרופות מהווה 14% מה- GDP. גם הודו נמצאת ברשימה, ואפילו מספר מדינות באירופה.
ב- 1 מ- 10 מכשירים, ביותר מ- 25% מהחברות הרפואיות וב- 10% מחברות התרופות, זיהינו כלי פריצה: כלי בדיקות חדירה כגון Mimikatz, Meterpreter, כלים לניהול מרחוק שהונדסו מחדש, ועוד. המשמעות היא או שארגונים רפואיים הם, או מאוד בשלים מבחינת אבטחת סייבר, ומבצעים בחינות קבועות של התשתית שלהם באמצעות צוותים ובודקי חדירה מקצועיים, או, וזה סביר יותר, שהרשתות שלהם שורצות בהאקרים.
במסגרת המחקר מצאנו קורבנות בדרום מזרח אסיה, ובעיקר בויטנאם ובנגלדש, של קבוצות APT (ריגול מתמשך), שחילצו מידע באמצעות הקוד הזדוני PlugX או Cobalt Strike. כלי PlugX RAT משמש קבוצת ריגול דוברות סינית, ומאפשר לה להעתיק ולשנות קבצים, לאסוף לחיצות מקשים, לגנוב סיסמאות וללכוד צילומי מסך. לאור העובדה שהקוד הזדוני הושתל בשרתים של חברות תרופות, ניתן לשער כי התוקפים מחפשים נכסי IP או תוכניות עסקיות.
