Спецпроекты

Антиковидную лабораторию атаковали «финансово заинтересованные» хакеры

Безопасность ИТ в госсекторе

Киберзлоумышленники атаковали лабораторию, занимающуюся исследованиями COVID-19. Им удалось получить доступ к интерфейсам лабораторного оборудования. По всей видимости, хакеры намеревались продавать этот доступ другим заинтересованным сторонам.

Интерфейс как на ладони

Лаборатория в Оксфордском университете, которая занимается исследованиями COVID-19 и вакцин против него, подверглась кибератаке. В течение некоторого времени у хакеров был прямой доступ к управляющему ПО лабораторного оборудования. В лучшем случае это означает утечку данных, в худшем — вероятность саботажа.

Издание Forbes получило информацию о взломе от технического директора ИБ-компании Hold Security Алекса Холдена (Alex Holden). Он предоставил журналистам скриншоты, из которых следовало, что неизвестные киберзлоумышленники имели доступ к программным интерфейсам лабораторных систем в Оксфордском университете. Как отмечает Forbes, скриншоты указывали, что у злоумышленников была возможность управлять насосами и давлением в оборудовании. Сами по себе скриншоты были сделаны 13 и 14 февраля 2021 г.

В Оксфордском университете вскоре подтвердили, что хакеры добрались до оборудования, используемого для очистки и подготовки к исследованиям биохимических образцов. Некоторые из этих образцов применяются при исследовании коронавируса.

«Мы идентифицировали и устранили проблему и проводим дальнейшее расследование, — указывается в заявлении Университета. — Никакого воздействия на клинические исследования инцидент не оказал, поскольку они и не проводятся в той области, которая была затронута кибератакой».

Исследователи коронавируса в Оксфордском университете подверглись кибератаке

В заявлении представителей Университета упоминается также, что об инциденте были проинформированы Национальный центр кибербезопасности Великобритании и Управление комиссара по информации Соединенного Королевства.

В Оксфордском университете разработана вакцина против COVID-19 (распространяется под маркой Oxford/AstraZeneca), однако взломанная лаборатория главным образом исследовала сам коронавирус, а непосредственными исследованиями и разработками вакцины занимались другие подразделения университета.

Область особого интереса

Отметим, что еще в 2020 г. Интерпол опубликовал предупреждение о том, что различные кибергруппировки — как аффилированные с национальными государствами, так и финансово-мотивированные — активно атакуют исследовательские и медицинские учреждения, связанные с исследованиями и вируса, и вакцин против него.

Алекс Холден заявил, что Оксфорд взломала именно финансово-мотивированная группировка, участники которой говорят на португальском языке. Группировку отличает очень высокий уровень подготовки и оснащенности, плюс она замечена в торговле данными с APT-группировками, аффилированными с разными государствами.

Ранее та же группировка атаковала бразильские университеты, используя шифровальщики для вымогательства денежных средств.

Холден отметил, что его больше всего волнует возможность отключать через взломанный интерфейс сигнализатор давления в лабораторном оборудовании. «Учитывая изобилие новостей о том, как киберпреступники пытаются саботировать системы очистки воды или атакуют энергетические компании, попадание такой информации в руки киберпреступников вызывает огромное беспокойство», — отметил эксперт.

За последние 12 месяцев были отмечены сразу несколько успешных кибератак на учреждения, занимающиеся борьбой с COVID-19. В марте 2020 г. шифровальная группировка Maze устроила утечку данных об исследованиях коронавируса из компании Hammersmith Medicines Research. В ноябре стало известно, что хакеры, связанные с северокорейскими спецслужбами, провели серию атак против персонала фармацевтической фирмы AstraZeneca, в партнерстве с которой выпускается вакцина, разработанная в Оксфордском университете. В январе 2021 г. в Сеть были слиты данные о вакцине Pfizer-BioNTech, похищенные у ее разработчиков в декабре 2020 г.

«У финансово-мотивированной группировки вряд ли будет повод устраивать саботаж, однако он вполне может быть по каким бы то ни было причинам у тех, кому злоумышленники продадут доступ к лабораторным системам, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Никогда не стоит исключать и подобного поворота. В целом же специализированное медицинское и лабораторное оборудование довольно часто содержит массу слабых мест в своих программных оболочках. Разработчики далеко не всегда учитывают требования безопасности, исходя из якобы невысокой вероятности прямых атак. А в результате злоумышленники получают эффективные точки входа, даже если защита внешнего периметра лаборатории отвечает всем нормативам».