Смерть пациентки в Германии после атаки на клинику русских хакеров
Смерть пациентки в Германии после атаки на клинику русских хакеров
Один час. Столько дополнительного времени понадобилось машине скорой помощи в ночь с 11 на 12 сентября, чтобы доставить больную женщину в тяжелом состоянии из Дюссельдорфа на западе Германии в соседний Вупперталь. За день до этого университетская клиника Дюссельдорфа стала объектом хакерской атаки — доступ к 30 серверам был зашифрован. Спасти пожилую пациентку не удалось, отмечает DW.
Теперь помимо подозрения в попытке вымогательства и компьютерном саботаже прокуратуре предстоит выяснить, было ли это неумышленное убийство, ответственность за которое, как считают в министерстве юстиции федеральной земли Северный Рейн-Вестфалия, могут нести хакеры, чьи следы ведут в Россию. Крупнейшая клиника Дюссельдорфа оказалась парализована почти на две недели и лишь в среду, 23 сентября, возобновила прием неотложных пациентов.
Это первый случай в Германии, когда нападение хакеров на объект так называемой критической инфраструктуры, возможно, привело к человеческим жертвам. О последствиях для тех, кому пришлось перенести запланированные операции или амбулаторное лечение, можно только гадать. Что касается пациентов стационара, то, как заявила клиника в первые часы после атаки, их обеспечение было «гарантировано».
Что известно о хакерской атаке на клинику в Дюссельдорфе
О том, что на самом деле произошло, общественности стало известно 17 сентября, то есть через неделю после нападения. Столько времени ушло на проверку этой версии правоохранительными органами и специалистами по компьютерной безопасности.
Университетская клиника в Дюссельдорфе
Первые официальные подробности тогда озвучил в докладе для земельного парламента министр юстиции Петер Бизенбах (Peter Biesenbach). Согласно докладу, который цитирует пресса, речь шла о вымогательстве. Хакеры оставили на одном из зашифрованных серверов послание без указания конкретной суммы, но с требованием вступить с ними в контакт. При этом послание было адресовано не клинике, а университету Дюссельдорфа. На основании этого правоохранительные органы предположили, что хакеры ошиблись адресом, и указали им на это, отметив, что такие действия угрожают жизни людей. В ответ вымогатели прислали ключ для снятия шифрования и больше на связь не выходили.
В следующем докладе Минюста земельному парламенту, о котором стало известно во вторник, 22 сентября, появились новые подробности. Так, хакеры якобы использовали брешь в программном обеспечении американской компании Citrix, о которой сама компания сообщила в декабре 2019 года. В январе 2020 года компания выпустила обновление, которое устранило проблему. Тогда же, в январе, Федеральное ведомство по безопасности в сфере информационных технологий (BIS) предупредило об опасности и призвало немедленно установить защиту. Университет, по его утверждениям, сделал это немедленно, но у хакеров было как минимум окно в несколько недель, чтобы установить свою шпионскую программу.
Сообщается, что конкретно был использован вирус-шифровальщик DoppelPaymer, который неоднократно применялся во всем мире против фирм и институтов группой хакеров предположительно из Российской Федерации. При этом Минюст Северного Рейна-Вестфалии сослался на «оценки частных компаний в сфере безопасности».
Кто может стоять за вирусом DoppelPaymer
Вирус, которому дали название DoppelPaymer, — относительно новый, он известен с середины 2019 года. Одна из компаний, которые занимались его детальным изучением, — CrowdStrike из США, один из мировых лидеров на рынке кибербезопасности. Как рассказал DW Адам Майерс, старший вице-президент по вопросам сбора и анализа информации в компании CrowdStrike, группа хакеров DoppelPaymer предположительно откололась от другой группы, Indrik Spider. Майерс описывает Indrik Spider как «криминальное предприятие, которое изначально занималось банковским мошенничеством и воровством учетных данных и перешло к атакам с целью выкупа». По его словам, некоторые члены группы клянутся, что не атакуют больницы, но не все.
Хая Шульман
Хая Шульман (Haya Shulman) возглавляет отдел по кибербезопасности в институте имени Фраунгофера в Дармштадте. «Существенным отличием DoppelPaymer является то, что он используется вручную, то есть им управляют люди, это не автоматическая программа», — отметила Шульман в беседе с DW. По ее словам, особенность вируса также заключается в том, что он используется не только для шифрования, но и для хищения данных, а хакеры впоследствии используют украденную информацию для шантажа, угрожая ее опубликовать. Клиника в Дюссельдорфе заявила, что, по предварительным данным, ничего похищено не было, но Шульман отмечает, что обнаружить это сложно, тем более — прошло время.
Насколько можно быть уверенным, что следы хакеров ведут в Россию? Прямых доказательств нет. «Мы мало знаем о том, кто стоит за DoppelPaymer, — говорит Адам Майерс из CrowdStrike. — Мы подозреваем, что они находятся в Восточной Европе, скорее всего, в России». По его словам, на это указывает несколько факторов — то, что жертвы хакеров в основном находятся за пределами бывшего СССР, а также то, что некоторые участники группы Indrik Spider действовали из России. Он отметил, что из этого региона работают несколько групп хакеров, «связанных с этим родом деятельности», некоторые из них осуждены американскими органами юстиции.
Того, что хакеры, атаковавшие клинику в Дюссельдорфе, могут быть русскими, не исключает и Хая Шульман. Она говорит, что вирус, по данным западных компаний, был создан в России, но сами хакеры могут находиться и в других странах. По ее словам, достоверно доказать, из какой конкретно страны была организована атака очень сложно, поскольку хакеры могут использовать чужие компьютеры.
Клиника — случайная жертва или объект интереса?
Пока в Германии инцидент с клиникой в Дюссельдорфе не получил широкой огласки. Одна из возможных причин: власти, судя по заявлениям, склоняются к тому, что клиника стала случайной жертвой. Эксперты не исключают этого, отмечая, что нападения на университеты — не редкость. За несколько дней до атаки в Дюссельдорфе вирус DoppelPaymer был применен против университета в британском Ньюкасле. Как отмечает Шульман, проникнуть в компьютерную сеть университета проще, чем в сеть частной компании, поскольку вузы тратят меньше денег на защиту от вирусов. Кроме того, в университетских сетях много пользователей, что упрощает рассылку шпионских мейлов.
Но предположение об ошибке хакеров не сходится с двумя особенностями вируса DoppelPaymer, а именно — его ручным управлением, которое дает хакерам возможность выбирать, куда именно они собираются проникнуть, и возможностью втайне собирать информацию. Если учесть, что у злоумышленников было достаточно времени для того, чтобы понять, куда они попали, можно предположить, что их истинной целью могла быть именно клиника и, например, данные о коронавирусе. Хая Шульман говорит, что такой вариант возможен, но это — лишь предположение.
Автор: Роман Гончаренко
Смотреть все новости автора
Читайте по теме:
Тевфику Арифу выдвинули официальные обвинения в торговле людьми и финансировании терроризма Энергетическая воронка тихого мошенника Мураткина Александра Михайловича Под Киевом судят убийцу, который забил до смерти доской своего знакомого В США украинца обвиняют в отмывании $94 млн через биткоин Максим Половко, «Эко-Буд-Трейд» и миллиарды закатанные в асфальт Скaндaльнo извecтный экc-нaрдeп Скocaрь «рaзвeл» бизнecмeнa нa дoрoгиe чacы Мошенник Машкевич Александр Антонович заочно оказался на скамье подсудимых Экс-чиновник-схемщик Дмитрий Кузишен в сговоре с правоохранителями «решает» уголовные дела против своих фирм «Жемчужного прапорщика» задержали за драку с полицейским Адвокат сообщил о следах пыток на теле ТесакаВажные новости
США ввели санкции против 12 топ-менеджеров «Лаборатории Касперского»
Сын замминистра обороны переписал лондонский бизнес на однокурсника
Опубликовано видео второго применения трехтонной управляемой авиабомбы
Суд изгнал из Крыма владельца группы «Зенден» Андрея Павлова
Юрий Ериняк — как бандит Юра Молдован захотел стать респектабельным бизнесменом