medjacklogo1

В последнее время в новостях появляются сообщения о том, что были взломаны авиационные системы Boeing (https://xakep.ru/2015/05/18/boeing-hack/) или даже электрическая подстанция (https://xakep.ru/2015/05/15/phdays-3/).

В свете таких событий было бы интересно взглянуть и разобраться как обстоит ситуация с безопасностью современного медицинского оборудования, которое уже давно умеет работать по локальной сети, предоставлять возможность удаленного подключения и другой функционал.


В качестве отправной точки будем использовать совсем недавно опубликованный отчет компании TrapX Labs.
В этом отчете идет речь о том, что в нескольких современных американских клиниках были обнаружены успешные попытки проникновения внутрь сети, а так же были найдены следы зловредного ПО.

 

MEDjack

Для того, чтобы обозначить новый класс атак, был даже придуман новый термин — medjack.
Собственно, это означает то, что различное медицинское оборудование зачастую подключается к локальной сети, и соответственно злоумышленники стараются найти такие устройства, получить над ними контроль и затем использовать их как отправные точки для дальнейшей компрометации сети мед учреждения.
Цели при этом бывают достаточно разные — это и распространение вредоносного ПО — например были зафиксированы случаи обнаружения известного банковского трояна Zeus.
Так же, если атака является таргетированной, в качестве цели может выступать получение определенных данных или документов.

Что касается обслуживания различного медицинского оборудования, то достаточно часто или даже почти всегда, медицинское оборудование обслуживается за счет собственных внешних специалистов самого производителя конкретного оборудования.
И более того, IT отделы учреждений здравоохранения вообще не имеют доступа к операционной системе подобных устройств.

Современные клиники (в США) придерживаются действующих у них стандартов безопасности, поэтому на периметре сети часто можно обнаружить и сетевой фильтр, и систему типа IDS и антивирусное ПО на конечных рабочих станциях.
Но при этом складывается ложное ощущение защищенности.
Внешний периметр защищен, а про внутренние угрозы просто забывают.
А ведь внутри может находится самое различное оборудование с сетевыми интерфейсами — это может быть всё что угодно, от диагностического оборудования до устройств отвечающих за жизнеобеспечение.

 

Переходим к рассмотрению

Мы рассмотрим один из сценариев атаки medjack, который имел место быть в реальности в мае 2015го года.

Вначале мы перенесемся в одну лабораторию, где внешний периметр был неплохо защищен, но была замечена подозрительная несанкционированная активность.

После изучения логов IDS и внутренней сети лаборатории, был обнаружен факт компрометации трех газоанализаторов крови.
И затем, в процессе расследования была установлена точка проникновения в лабораторию — это оказалась одна из рабочих станций, которая находилась в IT подразделении.
Злоумышленникам удалось вначале получить контроль над этом хостом (использовался криптованный и перепакованный пейлоад, который не был обнаружен антивирусом), а затем была проведена разведка в сети, найдены и скомпрометированы газоанализаторы.
На каждом из них были установлены бэкдоры (что-то вроде reverse tcp shell), которые позволяли злоумышленникам использовать это оборудование в качестве плацдарма, для работы внутри локальной сети лаборатории.

Общая схема атаки изображена на рисунке ниже.

first_medjack
Так же, весьма показательно то, что на одном из газоанализаторов был обнаружен образец известного зловреда Zeus.

Каким же образом злоумышленникам удалось получить доступ на это оборудование.
Сперва могут появится мысли о реверсе специфических прошивок каких-нибудь контроллеров, но на самом деле всё было очень просто.

 

Посмотрим на оборудование

Для начала неплохо посмотреть, что вообще из себя представляет подобное оборудование (газоанализаторы крови).

33633

Собственно, внешний вид может несколько отличаться в зависимости от конкретного производителя.
Но нам важно то, что там присутствует самый обыкновенный ethernet разъем, rj-45.
И что еще интереснее, в качестве ОС часто используется Microsoft Windows.
После дополнительного изучения, оказалось, что все скомпрометированные устройства работали под управлением Windows 2000.
И как это часто бывает, обновления давно не устанавливались, ну и не следует забывать о том, что поддержка Windows 2000 официально завершилась в 2010-м году.

 

Идем по шагам злоумышленников

Ну а теперь попробуем посмотреть как всё происходило.

1) С помощью клиент-сайд атаки был получен доступ на рабочую станцию в IT отделе.
Скорее всего использовался специально сформированный java апплет.

2) Далее были обнаружены газоанализаторы под управлением MS Windows 2000

3) На них была найдена уязвимость CVE-2008-4250, это знаменитый MS08-067. (Известность принесла эпидемия Conficker/Kido, которая началась в 2008-м году)

4) Затем оборудование было успешно проэксплуатировано.
При этом мог использоваться даже известный фреймворк Metasploit или же что-то самописное.

5) На скомпрометированные среды были загружены и запущены бэкдоры, обеспечивающие реверс коннект злоумышленникам, и автоматическое выполнение при включение оборудования.

Как оказалось, у злоумышленников был полный доступ к базе, в которой хранилась вся медицинская информация по газоанализу.
Эта база работала под дефолтной учетной записью DBA.
И если бы была цель как-то исказить результаты работы оборудования, сделать это не составило бы никакого труда.
Стоит подчеркнуть, что такой класс оборудования как газоанализаторы крови часто используется в реанимации и при проведении интенсивной терапии.
Поэтому результаты, которые оно предоставляет могут иметь критическое значение.

 

Если посмотреть дальше

Мы рассмотрели только один случай, но потенциальных векторов атак может быть множество.

Например, атакам может быть подвержено оборудование класса PACS (Picture Archiving and Communication System) — системы передачи и архивации изображений.
Это оборудование служит для интеграции и взаимодействия с медицинским радиологическим оборудованием, таким как рентген, компьютерная томография, ЯМР томография (МРТ) и устройствами для проведения ультразвуковой диагностики.
Подобные устройства тоже работают под управлением устаревших или непропатченных версий MS Windows.

Типовая схема развертывания PACS представлена на рисунке.

mpacs

 

Что имеем в итоге

Медицинское оборудование в сетях мед учреждений несколько отличается от привычных всем корпоративных сетей и оборудования в них.
Одним из отличий является то, что медицинские устройства — это зачастую закрытые системы, которые находятся вне зоны обслуживания IT персонала.

Но наряду с нарастающим интересом исследователей ИБ к АСУ ТП, мобильным сетям и авто/аэро системам, нельзя забывать и про медицинское оборудование, которое уже является целью для атак злоумышленников.

И судя по всему подобные атаки будут только нарастать в ближайшем будущем.