Ruski hakeri krivi za napad na bolnicu u Düsseldorfu?
26. septembar 2020
Jedan sat duže su kola hitne pomoći trebala u noći s 11. na 12. septembra kako bi jednu pacijenticu dovezli do hitnog odjela bolnice. Dan prije toga Sveučilišna bolnica u Düsseldorfu je bila meta napada hakera koji su blokirali pristup serverima. Teško oboljela pacijentica je, zbog toga što je nisu mogli primiti u Düsseldorfu, morala biti prebačena u bolnicu u susjednom Wuppertalu gdje je odmah po dolasku preminula.
Državno tužilaštvo sada istražuje radi li se u slučaju hakerskog napada i ubistvu iz nehata. Univerzitetska klinika u Düsseldorfu, jedna od najvažnijih zdravstvenih institucija u ovom gusto naseljenom dijelu Njemačke, je gotovo dvije sedmice bila blokirana.
Moguće je da se radi o prvom slučaju hakerskog napada koji za posljedicu ima ljudske žrtve. O posljedicama za one čiji je medicinski tretman prinudno odložen da i ne govorimo.
Što je poznato o hakerima?
Javnost je o napadu saznala tek sedam dana nakon njegovog početka. Prve detalje je objavio ministar pravosuđa savezne pokrajine Sjevernog Porajnja i Vestfalije Peter Biessenbach u pokrajinskom parlamentu i iz njih proizlazi da su napadači na jednom od blokiranih servera ostavili zahtjev da se s njima ostvari kontakt.
Međutim poruka je bila naslovljena na Univerzitet u Düsseldorfu, a ne na Univerzitetsku kliniku. Vlasti su pošle od toga su se napadači zabunili te su ih odmah o tome obavijestili. Istodobno su im dali do znanja da bi ovaj napad mogao koštati ljudskih života. Napadači su odmah nakon toga poslali lozinku za "otključavanje" sustava i prekinuli kontakt.
Kako su hakeri ušli u sustav?
Prema jednom novijem izvještaju pokrajinskog ministarstva pravosuđa, hakeri su iskoristili sigurnosnu rupu u jednom programu američke softverske kompanije Citrix. Ovu grešku je sama firma u decembru 2019. objavila na svojim stranicama i ponudila update za program.
Savezni ured za sigurnost informatičkih sustava (BSI) je odmah izdao upozorenje da se ovaj sigurnosni update napravi što prije. Univerzitetska klinika je, kako sami tvrde, to učinila odmah. No hakerima je ipak ostavljeno dovoljno vremena da u još nezaštićeni sustav ubace virus. Prema informacijama Ministarstva pravosuđa radi se o virusu DoppelPaymer, a hakeri "najvjerojatnije" dolaze iz Ruske Federacije.
Ovaj virus je već bio višestruko korišten u napadima na privatne i javne institucije. Prema navodima američke tvrtke CrowdStrike, jedne od vodećih svjetskih tvrtki za kibernetičku sigurnost, DoppelPaymer se pojavio sredinom prošle godine. Prema istim informacijama ovaj virus su razvili pripadnici hakerske grupe IndrikSpider koja je prvobitno bila specijalizirana za krađu bankovnih podataka ali se u međuvremenu prebacila na ucjene. Neki od pripadnika ove skupine su objavili kako neće napadati bolnice. No na to se nisu obvezali svi. Ovaj virus je moguće koristiti i za krađu podataka. Je li to bio slučaj i tijekom napada na bolnicu u Düsseldorfu, za sada nije poznato.
Da se hakeri vjerojatno nalaze u Rusiji, stručnjaci CrowdStrikea zaključuju po činjenici da IndrikSpider ne napada ciljeve koji se nalaze na području bivšeg Sovjetskog Saveza. I nekoliko sličnih napada je u prošlosti bilo usmjereno iz Ruske Federacije, a neke od članova su osudili američki sudovi. Načelno je međutim, kako kaže Haya Shulman iz njemačkog Fraunhofer instituta, teško odrediti otkuda dolazi napad s obzirom na to da se napadači mogu služiti i tuđim kompjuterima koja su smještena bilo gdje na svijetu.
Sveučilišta kao lake mete
Stručnjaci smatraju da je napad na Univerzitetsku kliniku u Düsseldorfu stvar zabune. Cilj je zapravo bio Univerzitet u Düsseldorfu. Visokoškolske ustanove su, kako pokazuje primjer prije nekoliko dana napadnutog Univerziteta u engleskom Newcastleu, lake mete. Ona, za razliku od privatnih institucija, ne ulažu toliko u kibernetičku zaštitu, a i činjenica da sveučilišne servere koristi mnogo korisnika ide hakerima na ruku. Tako je mnogo lakše odašiljati mailove s virusima.
Protiv ove teorije pak govori činjenica da je virus ubačen manuelno, dakle ne automatski. Haya Shulmat čak vjeruje da je napad na bolnicu ciljan kako bi se prikupili podaci sa servera, npr. o koronavirusu. No i ona sama kaže kako se samo radi o "teoriji".