Jesu li ruski hakeri krivi za žrtvu kibernetičkog napada?
25. rujna 2020
Jedan sat dulje su kola hitne pomoći trebala u noći s 11. na 12. rujna kako bi jednu pacijenticu dovezli do hitnog odjela bolnice. Dan prije toga Sveučilišna bolnica u Düsseldorfu je bila meta napada hakera koji su blokirali pristup serverima. Teško oboljela pacijentica je zbog toga što ju nisu mogli primiti u Düsseldorfu, morala biti prebačena u bolnicu u susjednom Wuppertalu gdje je odmah po dolasku preminula.
Državno odvjetništvo sada istražuje radi li se u slučaju hakerskog napada i o ubojstvu iz nehaja. Sveučilišna klinika u Düsseldorfu, jedna od najvažnijih zdravstvenih institucija u ovom gusto naseljenom dijelu Njemačke, je gotovo dva tjedna bila blokirana.
Moguće je tako da se radi o prvom slučaju hakerskog napada koji za posljedice ima ljudske žrtve. O posljedicama za one čiji medicinski tretman je prinudno odgođen da se i ne govori.
Što je poznato o hakerima?
Javnost je o napadu saznala tek tjedan dana nakon njegovog početka. Prve detalje je objavio ministar pravosuđa savezne pokrajine Sjevernog Porajnja i Vestfalije Peter Biessenbach u pokrajinskom parlamentu i iz njih proizlazi da su napadači na jednom od blokiranih servera ostavili zahtjev da se s njima ostvari kontakt.
Međutim poruka je bila naslovljena na Sveučilište u Düsseldorfu, a ne na Sveučilišnu kliniku. Vlasti su pošle od toga su se napadači zabunili te su ih odmah o tomu obavijestili. Istodobno su im dali do znanja da bi ovaj napad mogao stajati ljudske živote. Napadači su odmah nakon toga poslali lozinku za "otključavanje" sustava i prekinuli kontakt.
Kako su hakeri ušli u sustav?
Prema jednom novijem izvješću pokrajinskog ministarstva pravosuđa, hakeri su iskoristili sigurnosnu rupu u jednom programu američke softverske kompanije Citrix. Ovu grešku je sama tvrtka u prosincu 2019. objavila na svojim stranicama i ponudila update za program.
Savezni ured za sigurnost informatičkih sustava (BSI) je odmah izdao upozorenje da se ovaj sigurnosni update učini što prije. Sveučilišna klinika je, kako sami tvrde, to učinila odmah. No hakerima je ipak ostavljeno dovoljno vremena da u još nezaštićeni sustav ubace virus. Prema informacijama ministarstva pravosuđa radi se o virusu DoppelPaymer, a hakeri "najvjerojatnije" dolaze iz Ruske Federacije.
Ovaj virus je već bio višestruko korišten u napadima na privatne i javne institucije. Prema navodima američke tvrtke CrowdStrike, jedne od vodećih svjetskih tvrtki za kibernetičku sigurnost, DoppelPaymer se pojavio sredinom prošle godine. Prema istim informacijama ovaj virus su razvili pripadnici hakerske grupe IndrikSpider koja je prvobitno bila specijalizirana na krađu bankovnih podataka ali se u međuvremenu prebacila na ucjene. Neki od pripadnika ove skupine su objavili kako neće napadati bolnice. No na to se nisu obvezali svi. Ovaj virus je moguće koristiti i za krađu podataka. Je li to bio slučaj i tijekom napada na bolnicu u Düsseldorfu, za sada nije poznato.
Da se hakeri vjerojatno nalaze u Rusiji stručnjaci CrowdStrikea zaključuju po činjenici da IndrikSpider ne napada ciljeve koji se nalaze na području bivšeg Sovjetskog Saveza. I nekoliko sličnih napada je u prošlosti bilo usmjereno iz Ruske Federacije, a neke od članova su osudili američki sudovi. Načelno je međutim, kako kaže Haya Shulman iz njemačkog Fraunhofer instituta, teško odrediti otkuda dolazi napad s obzirom na to da se napadači mogu služiti i tuđim računalima koja su smještena bilo gdje na svijetu.
Sveučilišta kao lake mete
I stručnjaci smatraju da je napad na Sveučilišnu bolnicu u Düsseldorfu stvar zabune. Cilj je zapravo bilo Sveučilište u Düsseldorfu. Sveučilišta su, to pokazuje i primjer prije nekoliko dana napadnutog sveučilišta u engleskom Newcastleu, lake mete. Ona, za razliku od privatnih institucija, ne ulažu toliko u kibernetičku zaštitu, a i činjenica da sveučilišne servere koristi mnogo korisnika ide hakerima na ruku. Tako je mnogo lakše odašiljati mailove s virusima.
Protiv ove teorije pak govori činjenica da je virus ubačen manualno, dakle ne automatski. Haya Shulmat čak vjeruje da je napad na bolnicu ciljan kako bi se prikupili podaci sa servera, npr. o koronavirusu. No i ona sama kaže kako se samo radi o "teoriji".