信息来源:安全客
现如今,暗网市场中导出都充斥着针对医疗设备的恶意攻击服务,其中包括针对医疗设备的勒索软件、带有恶意代码跟后门的“医疗”应用程序,以及各种针对医疗行业的欺诈攻击服务等等。毫无疑问,网络犯罪分子正在尝试突破医疗行业的安全界限。
网络犯罪分子们正在尝试寻找新的方式来利用医疗领域中的安全缺陷,并从中谋取巨额非法收益。为了实现这个目标,网络犯罪分子们会尝试诱使绝望的病人下载健康信息应用程序,用恶意软件感染他们的设备,用勒索软件攻击医院的基础设施,有的甚至还会在非法的网络市场中向病人出售欺诈性的保险和违禁药品。
安全研究人员在本周举行的RSA 2020大会上表示,医疗保健行业是网络罪犯利润极其丰厚的市场。安全专家表示,医疗行业之所以会成为网络犯罪分子们的香饽饽,不仅因为医疗行业存储了大量病患的个人身份识别信息(PII),而且很多的医疗设备以及医院基础设施都缺乏基本的安全防护。而且从病人的角度来看,整个医疗行业充满了很多在积极寻求医疗救助时感到无比脆弱和绝望的人,这一点会让他们很容易就成为了网络犯罪分子们的诈骗猎物。
Fortinet的高级安全研究员Aamir Lakhani在本周二的RSA大会上表示,医学专家和患者需要充分意识到最新出现的那些安全风险类型。Aamir Lakhani说到:“网络犯罪分子根本不会在乎你是否真的有医疗相关方面的问题,他们只想赚钱,并且是从你你身上赚钱,他们会把你作为猎物和攻击目标。而且,我们也看到了越来越多的针对医疗设备以及医疗相关的物联网嵌入设备的新威胁和新技术。”
目前的医疗环境已经被2019年发生过的几次大型数据泄露事件所破坏得体无完肤了。其中最为严重的一次就是美国医疗收集机构(AMCA)的那些数据泄露事件了,当时总共有2500万名患者受到了事件的影响,而其他引人注目的数据泄露事件受害者还包括医疗保险公司Dominion National(296万患者)和UW Medicine(97万患者)。
这些发生数据泄露的数据库中包含了病患的医疗信息、医疗保险数据、信用卡号码和手机号码等个人身份识别信息,而这些泄露出去的数据随后便出现在了暗网市场中随时待售。实际上,安全研究人员还专门跟其中一个数据库背后的卖家取得了联系,而且卖家也跟他们展示了真实的泄露数据以作证明。
当然了,相比数据泄露来说,更加危险的应该属于勒索软件攻击了。这种类型的攻击将导致医院和医疗网络的运营中断,包括DCH医疗系统和Hackensack医疗健康服务,而这两者都曾向网络罪犯支付过赎金。
Aamir Lakhani认为:“来自这些泄露数据库的病患个人身份识别信息(PII)非常有价值,这些信息包括用户的姓名、家庭住址、信用卡信息和手机账户信息等等,这些都是网络犯罪分子严重的香饽饽。”
医疗设备中的安全漏洞
但除了数据泄露之外,网络犯罪分子还将目光投向了医疗领域的其他攻击面上。其中一些是由于设备本身的漏洞造成的,包括麻醉机和紧急反应器通信系统等潜在的关键设备。
比如说,Lakhani还专门指出了安全研究专家在Fujifilm FCR Capsula X/Carbon X设备中发现的一个关键安全漏洞(CVE-2019-10950),而这种设备主要用于X射线等诊断数据的成像显示。这个严重的安全漏洞将允许远程攻击者通过发送精心构建的恶意请求来绕过目标设备的安全限制,该漏洞是由不安全的Telnet服务中不正确的访问控制所造成的。这个漏洞将允许攻击者访问目标设备的底层操作系统,并允许攻击者修改X光的检查和诊断结果,并最终导致正在查看X光检查结果的医生对患者的健康问题作出错误的诊断。
Lakhani表示,他们还在某款智能家庭血糖监测仪中发现了一个安全漏洞,这种监测仪可以帮助糖尿病患者测量自己的血糖水平。安全研究人员在对这款智能家庭血糖监测仪进行了仔细分析研究之后,发现这款设备与智能手机应用程序之间的通信是通过NFC实现的,但这种通信方式没有实现任何的身份认证机制,这也就意味着任何人都可以与目标设备进行配对,并查看设备与智能手机之间传输的数据,其中包括佩戴监测仪的事件、目标用户的血糖水平等等。不过研究人员目前已经将这个漏洞上报给了设备制造厂商,广大用户无需过多担心。
医疗设备中存在安全漏洞并非什么新鲜事了,Medtronic的胰岛素泵和除颤器之前就曾被曝出过存在严重的安全漏洞。安全研究人员也表示,随着物联网技术的发展,越来越多的设备会通过网络连接在一起,这种类型的安全威胁只会继续升级。
满足患者需求
除了数据泄露、网络攻击和勒索软件之外,网络犯罪分子还会利用网络诈骗和恶意应用程序等方式来满足病患在医疗援助方面的需求。比如说,很多网络犯罪分子就会尝试希望从治疗糖尿病的高成本中获利。虽然法律在药品价格上面有严格的规定,但一瓶10毫升的胰岛素在美国的话,有保险的售价是20美元,没有保险的售价则高达400美元。不过,同样数量的胰岛素如果从非法网络市场中的经销商那里购买的话,价格只有2美元不到。值得一提的是,从非法市场上购买药品会给用户带来各种各样的危险,比如危险的副作用,以及假药和错药等等。除此之外,网络犯罪分子还会尝试从病人身上获利,比如说向目标用户提供保险欺诈服务,他们甚至还可以提供伪造的病例证明。
在研究过程中,Lakhani还发现了很多声称可以帮助患有各种疾病患者的各种应用程序。比如说,在病人在寻找治疗糖尿病的方法时发现了一个应用程序,这个应用程序声称可以为患者提供更多关于治疗的信息。但安装后,该应用程序会要求获得手机短信、GPS、联系人信息等权限。但实际上,经过进一步检查,我们就能发现该应用程序是在为目标用户注册付费服务,并且利用手机支付数百美元的订阅服务费。
另一个糖尿病应用程序(打着提供糖尿病医学信息的幌子)正在获取目标用户的明文数据并将其传输到一台位于亚洲地区的服务器上;而另一个糖尿病应用程序(血糖测试应用程序)正在提供恶意广告软件并试图访问用户的设备麦克风和GPS数据。
我们能做些什么?
展望未来,Lakhani表示,医院、医疗设备制造商和医疗系统需要在安全方面展开更加深度的合作,特别是现在医院正在逐步部署和采用更多的物联网设备,却未能做好应对医疗连接设备所带来的安全和隐私挑战的准备。
MITRE信息技术技术中心的信息技术和网络安全集成专家Penny Chase也在RSA大会上表示,医疗安全需要成为医疗机构、医疗设备制造商、操作设备的临床医生以及患者之间共同的责任。具体而言,从医疗器械的角度来看,可以包括解决医疗器械设计和开发过程中的安全问题、明确制造商的责任以及促进“信息共享和风险评估的协作和协调方法”等步骤。如果这些问题不能得到有效解决,安全问题可能危及医疗领域的机密性和完整性。