В конце августа 2016 года исследователи стартапа MedSec и представители инвестиционной фирмы Muddy Waters Capital выступили со смелым заявлением: якобы медицинское оборудование компании St. Jude Medical содержит многочисленные уязвимости и представляет опасность для пациентов.
Тогда исследователи и инвесторы представили совместный аналитический отчет, который содержал мало конкретных данных о найденных уязвимостях, но все равно спровоцировал стремительное падение акций St. Jude Medical.
Представители St. Jude Medical, в свою очередь, ответили на совместный доклад двух компаний развернутым опровержением. Компания подчеркивала, что многие обвинения MedSec и Muddy Waters попросту невозможно проверить, а другие обвинения и вовсе были названы ложью. К примеру, в докладе исследователи заявляют, что удаленная атака на кардиооборудование возможна с расстояния пятнадцати метров, и отмечают, что расстояние, на котором можно получить доступ к девайсу, крайне желательно сократить. Представители St. Jude Medical сообщают, что эти заявления ложны, так как доступ к прибору можно получить лишь на расстоянии, не превышающем два метра,
В итоге St. Jude Medical подала на MedSec и Muddy Waters в суд, и разбирательство продолжается до сих пор. Представители St. Jude Medical обвинили исследователей и инвесторов в том, что те преследовали финансовую выгоду, намеренно опубликовав доклад и спровоцировав падение стоимости акций компаний. Напомню, что сами MedSec и Muddy Waters не отрицали своей финансовой выгоды, но также заявляли, что если бы они обратились к разработчику уязвимых устройств напрямую, то представители St. Jude Medical просто «замели бы проблему под ковер», а исследователи MedSec хотели привлечь внимание к происходящему.
Но оставим за скобками правовые и финансовые аспекты. Куда более интересен тот факт, что уязвимости в оборудовании St. Jude Medical оказались настоящими и весьма опасными. Данным инцидентом еще осенью прошлого года заинтересовалось Управление по контролю за продуктами и лекарствами США (Food and Drug Administration, FDA), которое инициировало расследование случившегося. В октябре 2016 года независимые исследователи подтвердили выводы исследователей MedSec, то есть обнаружили уязвимости в медицинском оборудовании производителя. Представители FDA сообщили, что до эксплуатации проблем злоумышленниками дело, к счастью, не дошло, однако они не стали приуменьшать важность проблемы:
«Эксплуатация данных уязвимостей позволяет неавторизованному пользователю получить удаленный доступ к имплантированному пациенту RF-кадиоустройству, подменив передатчик Merlin@home. Такой передатчик Merlin@home может использоваться для модификации программных команд имплантированного устройства, что может привести к истощению заряда его батареи, а также к установлению некорректного сердечного ритма или некорректной подаче разряда», — гласит отчет FDA.
В начале января 2017 года St. Jude Medical завершила сделку с Abbott Laboratories, запланированную еще в прошлом году, и практически сразу после этого компания сообщила о выпуске обновлений для серии устройств Merlin, которые работают с кардиостимуляторами и кардиодефибрилляторами компании. Согласно официальному пресс-релизу St. Jude Medical, с выходом обновлений были устранены «незначительные проблемы с кибербезопасностью».
На выпуск патчей уже отреагировали представители MedSec и Muddy Waters, которые, как ни странно, по-прежнему недовольны действиями St. Jude Medical:
«Сначала St. Jude яро отрицали тот факт, что их медицинские устройства страдают от уязвимостей и подали на нас в суд, а теперь St. Jude выпустили заявление, которое, по сути, подтверждает правоту исследования, ранее опубликованного MedSec и Muddy Waters.
Это признание назревало давно, а тот факт, что оно было сделано спустя считанные дни после продажи St. Jude компании Abbott Laboratories, лишний раз убеждает нас в том, что компания ставит свои прибыли выше пациентов. Также это убеждает нас в том, что если бы мы не заявили об этих [проблемах] публично, в St. Jude не стали бы исправлять уязвимости.
Как бы то ни было, не похоже, чтобы анонсированные исправления решали другие, куда более серьезные проблемы, включая наличие универсального кода, который может помочь хакерам перехватить контроль над имплантатами».
Представители FDA пообещали продолжить оценку деятельности St. Jude Medical, а также высказались о безопасности подобных медицинских приборов в целом. По мнению FDA «плюсы для здоровья пациентов, которые несет использование таких приборов, перевешивают риски, связанные с кибербезопасностью».
Время обнаружения кибершпионских атак в 2024 году составило 390 дней, что на 40% больше, чем в прошлом году. Специалисты интегратора «Информзащита» связывают это с усовершенствованием методов маскировки и расширением инструментов для поиска и эксплуатации уязвимостей, которые помогают злоумышленникам проникать в корпоративные инфраструктуры.
По данным «Информзащиты», в 63% случаев для кибершпионажа использовалось специализированное программное обеспечение, а в 41% — инструменты скрытого мониторинга системы. В некоторых случаях применялись обе категории одновременно. Для доставки зловредных файлов в 60% случаев использовался фишинг.
«Основной характеристикой шпионских атак является длительное скрытное присутствие в системе. Современные злоумышленники активно используют методы маскировки: вредоносные программы часто проникают в инфраструктуру под видом легального ПО, или загружаются вместе с ним, шифруют сетевой трафик, удаляют журналы событий, минимизируя риск обнаружения», — отметил директор Центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты» Александр Матвеев.
Кроме того, злоумышленники активно применяют инструменты для автоматизированного поиска уязвимостей, включая системы имитации атак (BAS, Breach and Attack Simulation). С их помощью они обнаруживают уязвимости нулевого дня, о которых вендор ещё не знает, а значит, для которых ещё не выпущены исправления.
В 2024 году шпионские атаки чаще всего были направлены на промышленный сектор (40% инцидентов) и розничную торговлю (30%). Значительное количество атак также было совершено на медицинские (10%) и образовательные (10%) учреждения.
«Промышленность остаётся одной из наиболее атакуемых отраслей, что объясняется высокой значимостью таких предприятий для экономики, а также необходимостью модернизации их ИТ- и ИБ-систем. Информация, похищенная с таких объектов, может быть использована злоумышленниками для подготовки последующих атак. Ретейл, медицина и образование привлекают внимание хакеров из-за значительных объёмов персональных и корпоративных данных, которые хранятся в этих организациях», — добавил Александр Матвеев.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
