网络“生死”战：谈医疗行业的网络安全隐患

  转载自Freebuf

  这是病毒来袭的第49天，也是武汉封城的第26天。

  我们经历了高铁停运、自我隔离、假期延长、远程办公……随着1月30日晚，世界卫生组织（WHO）宣布：将新型冠状病毒疫情列为“国际关注的突发公共卫生事件”（PHEIC）。中国抗击疫情再次进入一个小高潮。

  但是，我们面对的不仅仅是病毒。

  前几天，看到了这样一起APT攻击事件：360安全大脑捕获了一例利用肺炎疫情相关题材投递的APT攻击案例，攻击者利用肺炎疫情相关题材作为诱饵文档，通过邮件投递攻击，并诱导用户执行宏，下载后门文件并执行。

  较之以往更令人愤恨的是，网络攻击的手段是施加在对抗击疫情，不敢停歇的医疗工作领域。如果说这次攻击只是网络安全世界的一个小小的缩影，那么，它提醒了我们一个事实：扛起生死的医疗机构，面对网络安全时，却更加脆弱。

  安全隐患

  一旦发现“水坑”，所有的食肉动物都会一拥而上，因为那里会有他们的猎物。

  1、勒索病毒

  医院和一些医疗机构的重要性成为其“脆弱”的主要原因。一旦医院受到攻击，短暂的系统停摆都会造成重大的灾难，关乎患者的性命，正因为如此，医院一直是勒索软件的主要攻击目标之一，因为他们不敢不支付赎金。此外，随着物联网渗透到医疗领域的各个层面，暴露在联网设备上的数据也为恶意分子发起攻击提供了更多的可能，而医疗数据价值高、勒索金额巨大也吸引着恶意分子。

  据了解，从2018年开始，我国医疗体系遭受攻击的频率就呈明显上升趋势。国内曾出现过多起医院遭遇勒索病毒的事件，攻击者入侵医院信息系统，导致部分文件和应用被病毒加密破坏，影响医院正常运行，患者无法正常接受治疗。

  目前，在新冠病毒感染患者的确认、治疗关键时期，一旦勒索病毒入侵医院，发生干扰CT扫描、窃听诊疗信息或劫持系统的情况，可能造成难以挽回的伤害。

  2、挖矿木马

  挖矿木马，这是一类利用漏洞入侵计算机，并植入挖矿软件以挖掘加密数字货币的木马。

  2018年7月，腾讯御见威胁情报中心监测到多家医院服务器被黑客入侵，攻击者暴力破解医院服务器的远程登录服务，之后利用云分享文件功能下载多种挖矿木马，挖山寨加密币。从而导致医院业务系统性能变差、速度变慢，因而错过患者的黄金诊疗时间。

  医院的“业务”是什么？救死扶伤。而挖矿木马的运行不仅会导致计算机CPU占用明显增加、系统卡顿，甚至会使业务服务无法正常使用。另一方面，挖矿木马为了不被清除，还会通过防火墙配置、修改计划任务等方式进行安全对抗，再次影响业务的开展。

  在《2019健康医疗行业网络安全观测报告》中，被观测的15339家医疗健康相关单位中近400家单位已经存在挖矿木马。其中，此次疫情重灾区湖北省，在报告中“医疗行业网络安全现状”的风险级别为“较大风险”，即威胁种类较多、攻击频率较高，存在较多安全隐患。报告还对各省单位存在僵木蠕等恶意程序的占比情况进行了对比分析，湖北省同样处以占比最高的序列。