網路駭客示意圖。路透社
英國國民保健署(NHS)月初遭遇重大網攻,導致約3億筆病患資料近日被發布在暗網,包括HIV(人類免疫缺乏病毒)血液檢測結果。英國媒體報導,美國聯邦調查局(FBI)已加入與英方聯手調查。
這起影響近3500個手術和約診、衝擊大倫敦地區約7家大型醫院及其他醫療院所的網路攻擊事件被專家形容為「NHS近年最重大的病患資料外洩事件」、「英國歷來遭遇最嚴重、危害最大的網攻行動之一」。藉勒索軟體營利的俄語駭客組織「麒麟」(Qilin)20日夜間將盜取的資料公布在暗網。「麒麟」也曾攻擊美國境內的健康照護機構。
公布在暗網的檔案經壓縮後,大小仍近400GB。「麒麟」近日曾威脅遭駭的病理檢驗服務公司Synnovis支付4000萬英鎊(約新台幣16億元)贖金,否則將公布病患資料。不過,面對層出不窮的勒索軟體網攻事件,英國政府敦促受害者勿屈從駭客意志,以免變相鼓勵犯罪。
《泰晤士報》(The Times)23日報導,英國「國家打擊犯罪局」(National Crime Agency, NCA)正與曾遭「麒麟」攻擊的各國執法單位合作進行調查,包括美國。
今年2月,NCA、FBI、歐洲刑警組織(Europol)及日本、澳洲、加拿大等國曾合作打擊另一個同為俄語背景、曾是全球犯行最重大的勒索軟體組織之一Lockbit。NCA當時成功滲透Lockbit的指揮管制系統,並在隸屬Lockbit的暗網網站公告「本網站已遭執法機關控制」。
英國《衛報》(The Guardian)21日援引知情人士說法報導,此次NHS體系遭攻擊,NCA同樣正考慮主動反擊、「報復」駭客組織,並移除外流至暗網的病患個資。
不過,部分網安相關單位人士指出,若駭客已備份,則僅是移除個別網站的資料,效果恐怕有限。《泰晤士報》則報導,試圖移除並取回病患資料仍有意義,因為調查人員可透過分析資料傳輸過程內含的「電子指紋」追捕駭客。
英格蘭NHS在21日發布的聲明指出,NCA和英國「國家網路安全中心」(NCSC)正在核實「麒麟」發布的資料,相關調查恐需時數週。
遭「麒麟」攻擊的Synnovis是英格蘭NHS承包商,主要服務大倫敦地區東南部醫療院所。受網攻影響,Synnovis月初被迫中斷多項病理檢驗服務:各醫療院所無法與Synnovis的伺服器建立安全連線,以即時取得病患的病理學資料,手術和門診因此窒礙難行,特別是輸血作業。NHS評估,相關服務恐得到今年秋天才能完全恢復正常。
代表「麒麟」發言的駭客19日透過加密通訊軟體告訴英國廣播公司(BBC),他們的行動目的是抗議英國政府對某場戰爭的幫助不夠力,網攻受害者該責怪英國政府。「麒麟」未說明其所指「戰爭」為何,也未言明其政治立場或所在位置。
BBC報導,這是「麒麟」首度提到自己的網攻行動具政治動機。自2022年受關注以來,「麒麟」的已知網攻受害者涵蓋企業、學校、醫院、地方政府等,皆無明顯政治色彩。
跨國網安組織「勒索軟體任務小組」(Ransomware Task Force)共同主席、英國智庫「皇家聯合軍事研究所」(RUSI)副研究員艾里斯(Jen Ellis)指出,對「麒麟」這類網路犯罪組織來說,「說謊是家常便飯」。
艾里斯強調,和病患及院方受到的傷害比起來,駭客來自哪裡、為何發動攻擊,是次要問題。
「麒麟」於2022年10月首次公開其攻擊對象,並曾以俄語發布「人才招募」訊息。
美國網安服務公司Secureworks的調查顯示,「麒麟」以俄語為溝通語言,且在其歷來發布的受害者名單中,未見俄羅斯或相對「友俄」、由前蘇聯國家組成的「獨立國家國協」(CIS)成員國。「麒麟」勒索行動的受害者迄今已遍布至少30個國家。
許多分析指出,醫療服務機構是勒索軟體網攻的熱門下手目標,且相較於其他產業,遭勒索的頻率恐怕只會有增無減。
根據分析,主要原因包括相關機構往往儲存大量涉及個人隱私的資料,部分內容甚至可能威脅病患生命安全;受害的機構或個人往往傾向不計代價要贖回遭竊資訊,因此讓駭客有予取予求的空間。