حمله سایبری به سامانه مراقبت‌های پزشکی آمریکا

حمله سایبری به سامانه مراقبت‌های پزشکی آمریکا
تاریخ انتشار : ۱۴ اسفند ۱۴۰۱

گروه باج‌افزاری Clop بیش از 130 سازمان را هک کرده و داده‌های حساس بیش از 1 میلیون نفر را به سرقت برده است.

به گزارش گرداب، به تازگی حمله سایبری جدیدی به سامانه‌های مراقبت پزشکی آمریکا صورت‌گرفته و در طی آن گروه باج‌افزاری Clop توانسته تا به بیش از 130 سازمان و ارائه‌دهندگان خدمات بهداشت و درمان آمریکا نفوذ کند.

یکی از بزرگترین ارائه‌دهندگان مراقبت‌های بهداشت و درمان آمریکا اسنادی را ارسال کرده است که نشان می‌دهد داده‌های حساس بیش از یک میلیون نفر در پی نقصی که در سیستم انتقال آن بود، به سرقت رفته است. شرکت فورتا ارائه‌دهنده خدمات می‌گوید در پاسخ به سیل حملات سایبری با مشتریان و آژانس امنیت سایبری و امنیت زیرساخت (CISA) آمریکا همکاری می‌کند تا خسارت‌ها کاهش داده شود. دلیل این حمله سایبری آسیب‌پذیری جدی در محصول انتقال فایل بوده است.

این حملات به ده‌ها سازمان بزرگ از جمله دانشگاه سینسیاتی، سیستم سلامت کودکان نمورس (Nemours) و بسیاری از ادارات دولتی صورت گرفته و واکنش‌های شدیدی به آن داده شده است.
آژانس امنیت سایبری و امنیت زیرساخت آمریکا این موارد را به فهرست آسیب‌پذیری‌هایی که مورد سوءاستفاده قرار گرفته‌اند، اضافه کرد و تا 3 مارس به آژانس‌های فدرال غیرنظامی فرصت داد تا این مشکل را اصلاح کنند.
در تمام این مدت، فورتا فقط توصیه های خصوصی در مورد مشکلات در پورتال GoAnywhere مشتریان خود منتشر کرده است و آسیب پذیری را به طور عمومی اعلام نكرده است. اما شامگاه چهارشنبه، سخنگوی فورتا گفت که از حملات به سیستم انتقال در 30 ژانویه مطلع شد.

وی گفت: "ما فوراً اقدامات متعددی را برای رسیدگی به این موضوع انجام دادیم، از جمله قطع موقت این سرویس برای جلوگیری از هرگونه فعالیت غیرمجاز بیشتر، اطلاع دادن به همه مشتریانی که ممکن است تحت تأثیر قرار گرفته باشند، و به اشتراک گذاشتن راهنمایی‌هایی جهت کاهش مخاطرات، که شامل دستورالعمل‌هایی برای مشتریان اولیه ما در مورد اعمال اتصال به سرویس پورتابل است. علاوه بر این، با CISA هماهنگ کردیم تا اطلاعات مربوط به این آسیب‌پذیری را به کاتالوگ خود اضافه کنیم تا دامنه اطلاعات مربوط به این موضوع را افزایش دهیم. ما این موضوع را بسیار جدی می‌گیریم و به مشتریان خود کمک می‌کنیم تا اقدامات کاهشی را برای بهبود این مشکل اجرا کنند."

جدول زمانی مشخص شده توسط فورتا با آنچه یکی از نمایندگان هكر Clop گفت مطابقت دارد. این هکر در 10 فوریه ادعا کرد که به مدت 10 روز از طریق این آسیب پذیری اطلاعات را سرقت کرده است. آنها همچنین گفتند که باج‌افزاری را در شرکت‌های آسیب‌دیده مستقر نمی‌کنند، بلكه فقط به صورت جانبی در سراسر شبکه‌های قربانی حرکت می‌کنند و داده‌ها را تا حد امكان سرقت می‌کنند.

مشاوره های خصوصی

هفته گذشته، فورتا یک توصیه خصوصی را در پورتال مشتریان خود منتشر کرد که توضیح می‌داد این باگ یک نقص تزریق کد از راه دور است که برای بهره‌برداری موفقیت‌آمیز نیازمند دسترسی به کنسول مدیریتی است. به طور خلاصه، اگر هکرهایی که از این آسیب‌پذیری استفاده می‌کنند بتوانند به اندازه کافی به یک سیستم نفوذ کنند، می‌توانند آسیب زیادی وارد کنند.

این اشکال توسط برایان کربس، کارشناس امنیت سایبری منتشر شد. وی نوشت که این شرکت گفته است که "به طور موقت در پاسخ به حملات قطع سرویس را اجرا کرده است".
این شرکت هشدار داد که اگر یک کنسول مدیریتی - بخشی از نرم‌افزار با تنظیمات کلیدی - در معرض اینترنت عمومی قرار گیرد، "به شدت توصیه می‌شود با تیم پشتیبانی مشتری ما همکاری کنید تا کنترل‌های دسترسی مناسب را برای محدود کردن منابع قابل اعتماد اعمال کنید."

کوین بومونت، کارشناس امنیتی، جستجویی را در پلتفرم امنیتی Shodan به اشتراک گذاشت که نشان داد 1008 مورد از ابزارهای پورتابل GoAnywhere در معرض اینترنت عمومی قرار دارند. تا بعدازظهر جمعه، این تعداد به 1004 کاهش یافت که 580 نفر در ایالات متحده و بیش از 60 نفر در آلمان بودند. اطلاعات به اشتراک گذاشته شده توسط کربس طیف وسیعی از اطلاعات را برای کمک به افراد آسیب دیده برای کاهش مخاطرات ارائه می‌دهد.

شركت سیستم‌های سلامت جامعه (Community Health Systems) - که تقریباً 80 بیمارستان را در 16 ایالت کنترل می کند گفت که اطلاعات بهداشتی محافظت شده و موارد دیگر توسط هکرها از طریق آسیب پذیری پورتابل GoAnywhere به سرقت رفته است.

سخنگوی این شركت گفت که در حالی که این سرقت هیچ تاثیری بر عملیات بیمارستانی نداشته است، شرکت "در حال حاضر تخمین می زند که تقریباً یک میلیون نفر ممکن است تحت تأثیر این حمله قرار گرفته باشند". همچنین وی گفت که شركت قصد دارد نامه‌های اخطار نقض را برای قربانیان ارسال کند و خدمات محافظت از هویت را برای افراد آسیب دیده ارائه دهد.

پلتفرم‌های اشتراک‌گذاری فایل مانند GoAnywhere MFT قبلاً به دلیل داده‌هایی که ممکن است داخل آن‌ها وجود داشته باشند و استفاده گسترده از آن‌ها در بین سازمان‌های بزرگ، مورد هدف قرار گرفته‌اند. آسیب‌پذیری‌ای که یکی دیگر از ارائه‌دهنده‌های انتقال فایل، Accellion را تحت تأثیر قرار داده است، نرم افزاری كه از آن به طور مکرر برای هدف قرار دادن مؤسسات مالی، سازمان‌های دولتی، دانشگاه‌ها و شرکت‌ها در سال ۲۰۲۱ استفاده شده است.

باند باج‌افزار Clop یکی از گروه‌هایی بود که از آسیب‌پذیری Accellion بیشترین بهره‌برداری را کرد و به چندین قربانی معروف از جمله مورگان استنلی، شل، دانشگاه کلرادو، سازنده هواپیما Bombardier و فروشگاه خرده‌فروشی ایالات متحده حمله کرد.