爱尔兰医院勒索软件攻击使黑客组织Conti分裂 - 彭博社
Ryan Gallagher
插图:约翰·普罗文切尔为彭博商业周刊绘制起初,对爱尔兰公共卫生系统的攻击陷入了一个令人沮丧的熟悉模式。2021年3月,黑客骗取一名员工点击一个看似无害的电子表格,从而获得对其网络的访问权限。5月14日,他们通过加密大量数据使这个拥有70,000设备的系统大部分无法运行。然后他们要求2000万美元——这将是有史以来最大的 勒索软件支付之一——来撤销这一行动。
由于黑客入侵了54家医院和约4,000个其他地点所需的系统,这些系统用于操作设备,如放射治疗机,并跟踪应向哪些患者施用哪些药物,其直接影响令人恐慌。在医生和护士争分夺秒地想出方法来防止病人死亡时,爱尔兰政府采取了 强硬立场。“我们非常清楚,我们不会支付任何赎金或参与任何那种行为,”时任总理 米歇尔·马丁在计算机开始卡住的那天通过电视露面时说。
但肇事者是一个臭名昭著的俄罗斯黑帮Conti,此前已经做过数百次类似的事情,而且它继续进行,仿佛它的受害者最终会屈服。Conti已经在 暗网上建立了一个在线聊天门户,在那里向爱尔兰公共卫生机构代表,即 卫生服务执行机构,或 HSE,解释了它所面对的情况。“我们渗透了你们的网络,并在其中停留了两个多星期,”它在被Bloomberg Businessweek审查的消息中写道。Conti表示已窃取了700千兆字节的数据,包括有关患者、员工和合同的个人信息,并向HSE分享了一些敏感文件的样本,以证明自己并非在虚张声势。“你们何时打算进行支付?”黑客们问道。
爱尔兰官员仍然坚持到5月19日星期三,Conti发出最后通牒:“我们将在星期一开始出售和发布您的数据。”然后,它神秘地犹豫了。第二天,它向HSE发送了解密密钥,使员工可以开始恢复数据的漫长过程。“我们免费提供解密工具给您的网络,”Conti写道。它强调这并不是问题的终结,并补充说HSE“应该明白,如果您不联系我们并尝试解决情况,我们将出售或发布大量私人数据。”然而,最终,Conti从未出售任何数据,并停止与HSE的沟通。该组织似乎完全取消了攻击,而从未收到赎金。
这次网络攻击是有史以来对医疗系统的最大规模攻击,尽管如此,它造成了毁灭性的影响。无法量化它造成了多少身体痛苦,也无法将这段时间内的任何死亡直接归因于黑客的行动。但对超过两打人的采访,包括HSE高管、医生和护士,以及执法和网络安全专家,揭示了造成的恐慌和混乱。“治疗速度大大放缓,我们在许多情况下在没有访问以前信息的情况下盲目地处理患者。这是不言而喻的带来了巨大风险,”HSE首席临床官Colm Henry说。“我们陷入了黑暗之中。”将近两年后,这次攻击给HSE留下了深远的影响。该组织正在实施一项计划,以现代化其计算机基础设施并加强其网络安全,成本可能会高达数亿欧元。
亨利摄影师:Ryan Gallagher/Bloomberg根据一位向《商业周刊》透露的幻灭的前成员的说法,这次攻击也给Conti带来了严重破坏。在那之前,Conti主要造成了金钱或声誉上的损失,一些成员对HSE遭受攻击的更加直接的后果感到恐慌,根据前成员分享的内部聊天记录和其他熟悉该组织的人的采访。这次攻击本应是Conti最大的收获,却揭示了它不会越过的底线。
“我们又回到了用计算器和纸片来计算药物剂量。如果犯错的话,这将改变生活”
HSE计算机网络中的一个漏洞在一系列改进中暴露出来,这些改进在诸如国家产科医院这样的地方实施,这是一家位于都柏林霍尔斯街的大砖建筑内的125年历史机构。2019年,这家设施——欧洲最繁忙的产科医院之一,每年为8000多名妇女和婴儿提供护理——用数字系统取代了基于纸张的医疗记录。
HSE各地也在进行类似的过渡。在正常的日子里,这些升级是有帮助的——当医生们不再试图用笔和纸追踪一切时,事情变得更加顺利。但它们引入了一个重大的潜在故障点:集中数字记录意味着计算机问题可能导致全国各地的医生和护士无法获取他们工作所需的基本信息。
足以证明,Conti发动攻击后几小时内,破坏了HSE大部分计算机基础设施,削弱了其进行基本日常功能的能力。全国范围内不得不推迟许多X光、CT和MRI扫描,心脏检查,内窥镜检查,放射治疗服务,妇科预约和血液检测。成千上万的预约被取消。
国家产科医院的助产和护理主任Mary Brosnan回忆说自己“完全不知所措”。医院工作人员不得不询问患者关于他们的病史和用药习惯的记忆,然后创建新的手写记录。考虑到并非所有患者都能可靠地回忆这些信息,有些人在用英语交流时可能会遇到困难,这是有风险的。“这真的很可怕,”Brosnan说。“我们最担心的是,如果我们给一个女性做手术,而我们对她了解不够,她在手术室里死了。愿天佑,因为失血或者因为我们没有意识到她有这样或那样的问题而中风。”
Brosnan摄影师:Ryan Gallagher/Bloomberg医院的新生儿单位依赖计算机为早产儿制定药物计算,其中一些早产儿需要呼吸机和重症护理,因此黑客攻击使其失去了一个关键工具。“我们又回到了使用计算器和纸片来计算药物剂量,”Brosnan说。“如果犯了错误,这将改变生活—对家庭和工作人员来说都是改变生活的。”
在圣卢克放射肿瘤网络在都柏林,这是欧洲最大的癌症患者放射治疗中心之一,工作人员匆忙制定了一个照顾300名患者的计划。第一个严酷的步骤是根据他们因治疗中断而面临的危险对他们进行分类。几小时内,工作人员已经确定了大约10名需要紧急或姑息护理的患者,并将他们转移到一个计算机正常运行的私人医院,根据圣卢克网络和临床主任克莱尔·福尔(Clare Faul)的说法。
然后是孩子们——从4岁到14岁的九名患者。他们的治疗依赖于线性加速器机器,这是庞大的高能量X射线设备,用于肿瘤的放射治疗。攻击使医院所有的机器都无法操作。福尔指示护士打电话给父母,告诉他们他们生病的孩子将在未知期间内无法接受治疗。“这是我经历过的最有压力的事情之一,”福尔回忆说,她是一名有20年医疗经验的老兵。
至少都柏林,爱尔兰最大的城市,有资源来应对危机。(该市20家医院中有七家是私人拥有的,不依赖HSE的基础设施;它们开始接收最需要紧急护理的患者。)爱尔兰的大多数网络安全专家也在都柏林地区,他们能够帮助那里的医院在最初几天内恢复至少一些功能。
其他地方的情况更加严峻。文森特·乔丹(Vincent Jordan),索尔塔大学医疗保健集团的电子健康主任,这是为该国西部和西北部地区提供服务的HSE网络,表示一些医院的实验室测试能力崩溃了。一个设施本来可以在12小时内处理4,000个测试,但在遭受攻击后,扩大到24小时服务,仍然只能通过剩下的未受损的计算机每天进行600次测试。
Faul摄影师:Ryan Gallagher/Bloomberg甚至在遭受袭击之前,患有严重健康问题的人有时不得不长途跋涉前往首都接受治疗。四岁的患者艾拉娜·福利患有威胁她视力和生命的视神经肿瘤。之前的手术并没有解决问题,在袭击当天,她的父母正将她从他们小镇的家里带到都柏林,在那里开始在城市南部的一家大型儿童医院接受化疗。
在车上,艾拉娜的母亲杰拉尔丁·邓利维听到了一则关于一家产科医院遭受网络攻击的广播报道,但并没有在意。然而,当家人抵达都柏林时,很明显出了问题会影响艾拉娜。黑客攻击延迟了她的化疗治疗一个星期。更糟糕的是,他们原本计划继续治疗的医院,比都柏林更靠近他们家,受到了严重破坏,他们很可能每次都需要花七个小时的时间前往首都。
几周后,艾拉娜需要接受手术修复放置在她脑中用于排液的分流管。尽管手术最终安排了,但却延迟了。邓利维记得那段极其煎熬的等待。“他们无法查看她的扫描图像或找到解决方法,”她说。“这似乎持续了很久。”
都柏林的国家产科医院。插图:约翰·普罗文切尔为彭博商业周刊绘制在最初的攻击大约一周后,使用屏幕名Alter的Conti黑客进入了一个内部聊天室并予以谴责。Alter暗示,当时不在聊天室的另一名成员或附属机构可能已经执行了攻击,可能没有得到批准,写道:“我想说这里在场的任何人都与这次攻击无关,我们不会攻击公共资源、医院、机场或类似的东西,我们也不会这样做。”
Conti是一个犯罪团伙,但它采用了一些合法科技企业常见的结构和做法。它采用了网络安全专家称之为“勒索软件即服务”的犯罪商业模式的变体,即一个团体出租恶意软件供其他犯罪分子使用。在Conti的情况下,它拥有该软件,但在攻击本身中保持更积极的角色,几乎像管理员工一样对待黑客,管理他们并支付工资。
根据与彭博商业周刊交谈的前成员所说,其员工分为多个团队,每个团队有大约10人或更多,并有自己的团队领导。一个团队收集有关公司活动领域和收入的情报,以及有关员工的详细信息,例如他们的联系信息和个人兴趣。然后有恶意软件开发人员、测试人员致力于绕过流行的防病毒软件,以及一个专门从事诱使人们点击妥协电子邮件的网络钓鱼团队。还有一个谈判团队,他们将直接与受害者打交道,并试图强迫他们支付赎金,还有一个采购部门购买服务器和其他技术基础设施。
在HSE黑客事件发生时,Conti并没有记录约束。FBI估计,截至2022年1月,该组织对1000多名受害者发动了攻击,获得了超过1.5亿美元的赎金,而美国国务院正在提供$1000万悬赏以获取任何领导人的身份信息。
但安全专家表示,他们已经注意到了关于什么行为是可以接受的不和谐迹象。爱尔兰国家网络安全中心的主任理查德·布朗说:“在攻击发生时,我们知道组织内部发生了什么。” 布朗的团队已经确定了一个子公司,他们怀疑该公司位于俄罗斯圣彼得堡,开发了IcedID,这是黑客在其他攻击中用来渗透企业网络的恶意软件。他说:“这个行动组年轻、更具侵略性,风险承受能力较低。” “我们的评估是,他们在组织内变得非常不受欢迎。”
布朗表示,他甚至知道涉嫌参与该攻击的具体人员的姓名,尽管只要他们留在俄罗斯,这并没有什么好处。(他的调查还得出结论,黑客在掩盖行踪方面做得并不好,而HSE的安全团队应该意识到在Conti首次进入网络时已经受到了威胁。)
康蒂内部对HSE黑客攻击引起的不适感是如何演变成决定取消的,仍然是一个神秘。“这让他们接受了一种他们可能不希望在国内、商业上或国际上受到的关注,”布朗说。“我怀疑在这种情况下,他们减少了损失并逃跑了。”
黑客攻击一个月后,HSE仅恢复了大约一半的服务器
无论原因是什么,康蒂的逆转产生了立竿见影的影响。当HSE收到解密密钥时,正在尝试重建其网络,使用存储在磁带上的备份数据恢复计算机。根据HSE的首席信息官弗兰·汤普森的说法,拥有密钥使得修复一切变得更快。“如果没有密钥,要让所有这些系统恢复正常所需的时间会更长,”当时负责爱尔兰国防军网络部队的指挥官史蒂文·基恩说。“那将会更加糟糕。”
即使手中有了密钥,国防军这支国家军队的团队仍然每天工作长达17个小时。大约3600台服务器和4万台台式电脑遭到破坏,解密单个设备需要花费5分钟到1小时不等,这取决于其中包含的文件数量。
黑客攻击一个月后,HSE仅恢复了大约一半的服务器。电子病历系统在约六周时间内仍然无法访问。袭击发生四个月后,仍然存在访问用于评估患者和制定治疗计划的成像系统的问题。HSE现在正在制定一项计划,对其计算机基础设施进行全面改造,以及扫描和上传在中断期间生成的大量纸质医疗记录。
恢复计算机系统并不能修复那些依赖它们的人所遭受的损害。患有严重癌症的患者不应该在治疗中间有超过两天的间断,而一周以上的延迟会对康复产生“可量化的影响”,Faul说。2016年《国际放射肿瘤学杂志》的一项研究还发现,癌症治疗期间错过多次放疗会增加疾病复发的风险,即使他们最终完成了疗程。
HSE员工能够相对快速地从备份服务器恢复一些系统,这帮助他们在都柏林市中心的圣詹姆斯医院重新启动了四台直线加速器。Faul的圣卢克医院的儿童被送往距离3.5英里的圣詹姆斯治疗中心,由专业的儿科护士和麻醉师陪同。每位患者的治疗都必须从头开始规划,他们在两天的间隔后恢复了放疗。
患有更常见癌症形式,如乳腺癌和前列腺癌的成年患者有三到六天的较长间断。其他治疗中心恢复放疗机器的速度较慢。总共,爱尔兰境内500多名癌症患者的放疗疗程被中断。在科克大学医院,一些处于最高优先级治疗类别的患者经历了长达17天的间断。
插图:约翰·普罗文切尔为彭博商业周刊绘制Conti内部的分歧在攻击结束后仍在继续。一个月后,一个自称为Rashaev的团队成员在内部聊天中宣布,Conti“决定完全不触碰医疗领域。” 但并非所有黑客团伙的成员都听从了这一指示。2021年10月,一名绰号为Dollar的成员对佛罗里达州的北布罗沃德医院区进行了攻击。黑客在一个聊天室中表示,他从网络中窃取了约8千兆字节的数据。(布罗沃德后来宣布遭到黑客攻击,患者数据被窃取,但表示“没有证据表明信息实际被滥用。”)
这一事件以及其他事件激怒了一个被称为Cybergangster的Conti团伙成员,在内部聊天中对Dollar的行为感到愤怒。“让我们把这个家伙赶出局,”Cybergangster写道。“他是个混蛋。这是不尊重的。我两次告诉他我们不触碰医疗领域。”
Dollar显然继续无视这些规则。泄露的聊天记录显示,2022年2月,他计划袭击一个脑瘫慈善机构。他试图为这次攻击辩护:“这些不是医生,也没有人在丧命。”
这场内讧之所以曝光,是因为一场分裂了该团伙的重大全球危机。许多Conti的核心成员居住在俄罗斯,而且据网络安全专家称,该团伙之所以能够运作,至少在某种程度上得到了俄罗斯政府的默许支持。但它的一些分支机构来自其他国家,包括乌克兰。当俄罗斯于2022年2月入侵乌克兰时,Conti的领导层发表了一份公开声明,支持并威胁要“反击任何瞄准俄罗斯的“敌人”的关键基础设施”。几天后,一个名为“ContiLeaks”的匿名Twitter账号开始在网上发布数千条内部聊天消息和文件,以及带有“乌克兰荣耀”的明显信息。
Conti于2022年5月解散。据前Conti成员透露,其中许多黑客加入了其他团伙,包括一个名为Black Basta的团伙和另一个名为Quantum的团伙。提供给《商业周刊》的文件显示,一些前Conti黑客正在使用服务器进行勒索软件攻击,目标是北美和欧洲的实体,包括纽瓦克住房管理局、纽约一家律师事务所、加拿大一家物流公司和罗德岛一家牙科诊所。
Conti解散几个月后,其中一名前成员同意接受《商业周刊》的采访。这位记者在2022年8月在一个俄语网络犯罪论坛上发布了一则请求,希望采访与Conti有关的人,一些人在版主封禁该记者之前回复了。在最初要求金钱之后,一位乌克兰国民,对该团伙领导支持弗拉基米尔·普京入侵的行为感到愤怒,同意无条件交谈。
Conti的受害者对犯罪团伙内部因良心危机而引发的痛苦毫无耐心,这是可以理解的。来自圣卢克的Faul在被问及对爱尔兰遭受攻击的黑客时仍然愤怒。她表示希望有一天他们会被带到爱尔兰法庭受审。她说:“这是最阴险、可怕的事情。如果他们认为可以摧毁一个卫生服务并导致人们潜在丧生,那他们不可能是人类,这是令人震惊的。”
这名黑客称,他每月获得约2000美元的固定工资,用于收集有关潜在目标的情报,他并不认为攻击HSE或其他组织是正当的。相反,他声称自己没有意识到自己行动的后果。他说,关于行动的细节通常不会向各个团队通报,这些团队之间相互隔离。他的老板“从未向我透露我们工作的具体内容。他说,‘你知道的越少,你就会活得更久。’”这名前Conti成员补充说,当医院遭受攻击时,他并不知情。“我不知道具体情况。但现在我谴责这种行为,”他说。
尽管面对勒索软件工作的影响,他并没有放弃。他说自己生活在俄罗斯,没有其他谋生途径。“我真的想离开。但这是我唯一的收入来源,”他说。“相信我,我在信息安全领域可以做很多事情,但我所有的求职都以失败告终。我真的想工作,并且知道我的工作不会伤害任何人。”阅读下一篇文章: 间谍软件终于足够可怕,让立法者感到恐慌——因为它监视了他们