استفاده از دستگاه‌های اشعه ایکس و MRI به‌عنوان سکوی پرش برای نفوذ به داده‌ها

نوشته شده در تاریخ توسط

مهاجمان با آلوده کردن دستگاه‌های پزشکی به بدافزارها، از آن‌ها به عنوانی درگاه ورود به سامانه‌های متصل به این دستگاه‌ها و پایگاه‌های داده‌ای که دارای اطلاعات باارزشی از بیماران هستند، استفاده می‌کنند.
دستگاه اشعه ایکس، سامانه تشخیص سرطان، دستگاه ام‌ آر آی و … همه‌ی این‌ها دستگاه‌های مراقبت پزشکی بااهمیتی هستند که محققان به‌تازگی بدافزارهایی را در آن‌ها پیداکرده‌اند که می‌توانند به‌عنوان یک در پشتی برای ورود به سامانه‌های متصل به آن‌ها و به هدف سرقت و خروج داده‌ها استفاده شوند.

محققان شرکت امنیت سایبری TrapX به موضوع خروج اطلاعات و سرقت دستگاه‌های پزشکی با عنوان MEDJACK اشاره ‌کرده‌اند. در یک گزارش منتشر شده در سال ۲۰۱۵، این شرکت مثال‌هایی را از حملاتی ذکر می‌کند که در آن‌ها آلوده شدن دستگاه تنها به خود آن محدود می‌شود و نه بیشتر. بااین‌حال، در گزارش Medjack ۲، شرکت TrapX مثال‌هایی را از عوامل مخرب ارائه می‌کند که از دستگاه‌های پزشکی سرقت شده به‌عنوان ابزارهایی برای دسترسی به سایر سامانه‌های متصل به آن‌ها استفاده شده است و به این طریق دیواره‌های آتش و راه‌‌حل‌های نقطه انتهایی که تصور می‌شد از پایگاه‌های اطلاعاتی مهم محافظت می‌کنند، دور زده می‌شوند. به‌بیان‌ دیگر، به گفته‌ی آنتونی جیمز مدیر بازاریابی شرکت TrapX در مصاحبه خود با SCMagazine.com «بدافزارها راهی را پیدا کرده‌اند تا بتوانند فراتر از مرزهایی که قبلاً قرار داشته‌اند حرکت کنند».

مفهوم این حمله کاملاً هوشمندانه است: راه‌حل‌های امنیتی ضد بدافزارهای جدید که به‌طورکلی از سامانه‌های فناوری پزشکی محافظت می‌کنند اغلب از بدافزارهای قدیمی چشم‌پوشی می‌کنند چراکه آن‌ها بر روی سامانه عامل‌های جدیدتر کار نمی‌کنند. بااین‌حال بسیاری از دستگاه‌های پزشکی هنوز بر روی سامانه عامل‌های بسیار قدیمی فعال هستند که آن‌ها را مستعد ابتلا به بدافزارهای مخرب قدیمی‌تر می‌کند. درنتیجه مهاجمان اکنون دستگاه‌های پزشکی را با بدافزارهای به‌ظاهر منسوخ آلوده می‌کنند و سپس از این آلوده ساختن به‌عنوان درگاه ورودی و حرکت جانبی به سمت سامانه‌های فناوری متصل به آن‌ها از طریق اجرای در پشتی عمل می‌کنند. پس از اینکه آن‌ها موفق شدند وارد سامانه‌های مرکز شوند، بالاخره بدافزار ماهیت خود را نشان می‌دهد، حمله‌ای باقابلیت‌های پیشرفته که یا با استفاده از شگردهای بسته‌بندی ماهرانه به‌خوبی پنهان شده است و یا به صورتی مخفی به بارگیری از یک کارگزار کنترل و فرماندهی می‌پردازد.

شرکت TrapX تحقیقات خود را با نصب فناوری‌های فریب‌دهنده‌ی خود در چندین بیمارستان آزمایشی انجام داد. این فناوری دستگاه‌های پزشکی را شبیه‌سازی می‌کند تا بدافزار را فریب داده و به دام اندازد و درنتیجه این بدافزار ماهیت خود را برای محققان برملا سازد. در طی این آزمایش، TrapX یک نوع قدیمی از کرم MS۰۸-۰۶۷ را مستقر کرد که به‌صورت معمول حتی به‌عنوان یک تهدید تلقی نمی‌شود، چراکه ویندوز ۷ و نسخه‌های بعدی سامانه عامل‌ها مدت‌ها پیش آسیب‌پذیری‌هایی را که این کرم از آن‌ها بهره‌برداری می‌کرد، از بین برده‌اند.
TrapX سه نمونه جداگانه از این حمله‌ی MEDJACK را ارائه کرد که همه دربردارنده‌ی کدهای مخرب پیچیده بودند و در درون این بدافزار قدیمی قرار داده‌ شده‌اند. در همه‌ی سه نمونه، بیمارستان هیچ‌گونه اطلاعات قبلی در مورد تهدیدی که در کمین آن‌ها نشسته است نداشتند.

در اولین مورد، بدافزار به یک دستگاه تنفس مصنوعی راه پیدا می‌کند، که بخشی از یک سامانه تومورشناسی با سامانه عامل ویندوز ایکس پی است که ویدئوهایی از نیم‌تنه و شکم را ضبط می‌کند. پس‌ازآن، محققان یک ایستگاه کاری فلوئوروسکوپی  یافتند که آن نیز توسط این بدافزار آلوده شده بود.
در یک بیمارستان دیگر عوامل، به آلوده کردن تجهیزات اشعه ایکس پرداختند که بر روی ویندوز NT ۴.۰ نصب شده بود؛ و در مثال سوم، نفوذگران یک سامانه MRI را در تلاش برای دسترسی به سامانه تصاویر و ارتباطات بیمارستان (PACS) مورد حمله قرار داده بودند. سامانه‌های PACS فضای ذخیره‌سازی و امکان دسترسی به تصاویر از دستگاه‌های متعدد بیمارستان را فراهم می‌کنند. در گزارش MEDJACK.۲ آمده است: «اگر یک مهاجم بتواند جای پایی در PACS پیدا کند، می‌تواند مسیر خود را به همه‌ی نقاط ممکن دیگر شبکه‌ی بیمارستان و همین‌طور شبکه‌های خارجی و متصل به آن، باز کند».

موشه بن سیمون از بنیان‌گذاران و معاون شرکت TrapX می‌گوید که از دیدگاه یک مهاجم سامانه PACS «یک خزانه‌ی پر از  پول است، چراکه به‌محض وارد شدن به آن شما می‌توانید به صدها گیگابایت اطلاعات پزشکی دسترسی پیدا کنید».

بااین‌حال این تهدید می‌تواند فراتر از تنها یک نفوذ به داده‌ی صرف باشد. این کار می‌تواند پیش‌زمینه‌ی یک حمله‌ی باج‌افزاری و یا حتی یک خرابکاری باشد که عوامل خرابکار می‌توانند عامدانه با دست‌کاری ابزارهای حفظ حیات بیماران مرتکب شوند.

در مورد دستگاه‌های ام آر آی که آلوده شده‌اند، کارکنان بخش فناوری بیمارستان حتی نمی‌توانستند هفته‌ها پس از حمله این دستگاه‌ها را دوباره به حالت اول برگردانند و به‌جای آن مجبور بودند تا از راه‌حل‌های دیگر استفاده کنند چراکه این دستگاه‌ها برای مراقبت‌های فوری پزشکی مورد نیاز بودند. در نهایت، بیمارستان مجبور شد به‌جای دست‌کاری و از بین بدن بدافزار در دستگاه ام آر آی، یک مدل جدید از دستگاه را تهیه نماید. بن سیمون این واقعه‌ی معمول را به‌عنوان «جایگزین کردن یک مشکل با مشکل دیگر» عنوان کرد چرا که تجهیزات جدید اغلب به‌مانند نمونه‌های قبلی آسیب‌پذیر هستند.

بن سیمون می‌گوید که باوجود این تهدید شایع، تولیدکنندگان دستگاه‌های پزشکی متصل به‌طور کلی تمایل دارند تا پول کمی را برای به‌روزرسانی محصولات خود با آخرین سامانه عامل‌ها و یا فناوری‌های امنیتی صرف کنند. او می‌گوید:‌ «سازندگانی که ما با آن‌ها صحبت کردیم می‌گویند «من به شما یک دستگاه پزشکی خوب با یک سامانه عامل جدید می‌دهم». حدس بزنید که بعد از این حرف چه اتفاقی می‌افتد، آن‌ها ویندوز ۷ را با ویندوز NT جایگزین می‌کنند، حتی با پشتیبانی و خدمات فنی کمتر».
و این در حالی است که مایکروسافت در حال حاضر ویندوز ۱۰ را توصیه می‌کند «این منطق آن‌هاست و نگرش آن‌ها به این صورت است».

منبع: asis

    درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.