愛爾蘭醫院勒索軟件攻擊使黑客組織Conti分裂 - 彭博社

插圖：約翰·普羅文切爾為彭博商業週刊繪製起初，對愛爾蘭公共衞生系統的攻擊陷入了一個令人沮喪的熟悉模式。2021年3月，黑客騙取一名員工點擊一個看似無害的電子表格，從而獲得對其網絡的訪問權限。5月14日，他們通過加密大量數據使這個擁有70,000設備的系統大部分無法運行。然後他們要求2000萬美元——這將是有史以來最大的 勒索軟件支付之一——來撤銷這一行動。

由於黑客入侵了54家醫院和約4,000個其他地點所需的系統，這些系統用於操作設備，如放射治療機，並跟蹤應向哪些患者施用哪些藥物，其直接影響令人恐慌。在醫生和護士爭分奪秒地想出方法來防止病人死亡時，愛爾蘭政府採取了 強硬立場。“我們非常清楚，我們不會支付任何贖金或參與任何那種行為，”時任總理 米歇爾·馬丁在計算機開始卡住的那天通過電視露面時説。

但肇事者是一個臭名昭著的俄羅斯黑幫Conti，此前已經做過數百次類似的事情，而且它繼續進行，彷彿它的受害者最終會屈服。Conti已經在 暗網上建立了一個在線聊天門户，在那裏向愛爾蘭公共衞生機構代表，即 衞生服務執行機構，或 HSE，解釋了它所面對的情況。“我們滲透了你們的網絡，並在其中停留了兩個多星期，”它在被Bloomberg Businessweek審查的消息中寫道。Conti表示已竊取了700千兆字節的數據，包括有關患者、員工和合同的個人信息，並向HSE分享了一些敏感文件的樣本，以證明自己並非在虛張聲勢。“你們何時打算進行支付？”黑客們問道。

愛爾蘭官員仍然堅持到5月19日星期三，Conti發出最後通牒：“我們將在星期一開始出售和發佈您的數據。”然後，它神秘地猶豫了。第二天，它向HSE發送瞭解密密鑰，使員工可以開始恢復數據的漫長過程。“我們免費提供解密工具給您的網絡，”Conti寫道。它強調這並不是問題的終結，並補充説HSE“應該明白，如果您不聯繫我們並嘗試解決情況，我們將出售或發佈大量私人數據。”然而，最終，Conti從未出售任何數據，並停止與HSE的溝通。該組織似乎完全取消了攻擊，而從未收到贖金。

這次網絡攻擊是有史以來對醫療系統的最大規模攻擊，儘管如此，它造成了毀滅性的影響。無法量化它造成了多少身體痛苦，也無法將這段時間內的任何死亡直接歸因於黑客的行動。但對超過兩打人的採訪，包括HSE高管、醫生和護士，以及執法和網絡安全專家，揭示了造成的恐慌和混亂。“治療速度大大放緩，我們在許多情況下在沒有訪問以前信息的情況下盲目地處理患者。這是不言而喻的帶來了巨大風險，”HSE首席臨牀官Colm Henry説。“我們陷入了黑暗之中。”將近兩年後，這次攻擊給HSE留下了深遠的影響。該組織正在實施一項計劃，以現代化其計算機基礎設施並加強其網絡安全，成本可能會高達數億歐元。

亨利攝影師：Ryan Gallagher/Bloomberg根據一位向《商業週刊》透露的幻滅的前成員的説法，這次攻擊也給Conti帶來了嚴重破壞。在那之前，Conti主要造成了金錢或聲譽上的損失，一些成員對HSE遭受攻擊的更加直接的後果感到恐慌，根據前成員分享的內部聊天記錄和其他熟悉該組織的人的採訪。這次攻擊本應是Conti最大的收穫，卻揭示了它不會越過的底線。

“我們又回到了用計算器和紙片來計算藥物劑量。如果犯錯的話，這將改變生活”

HSE計算機網絡中的一個漏洞在一系列改進中暴露出來，這些改進在諸如國家產科醫院這樣的地方實施，這是一家位於都柏林霍爾斯街的大磚建築內的125年曆史機構。2019年，這家設施——歐洲最繁忙的產科醫院之一，每年為8000多名婦女和嬰兒提供護理——用數字系統取代了基於紙張的醫療記錄。

HSE各地也在進行類似的過渡。在正常的日子裏，這些升級是有幫助的——當醫生們不再試圖用筆和紙追蹤一切時，事情變得更加順利。但它們引入了一個重大的潛在故障點：集中數字記錄意味着計算機問題可能導致全國各地的醫生和護士無法獲取他們工作所需的基本信息。

足以證明，Conti發動攻擊後幾小時內，破壞了HSE大部分計算機基礎設施，削弱了其進行基本日常功能的能力。全國範圍內不得不推遲許多X光、CT和MRI掃描，心臟檢查，內窺鏡檢查，放射治療服務，婦科預約和血液檢測。成千上萬的預約被取消。

國家產科醫院的助產和護理主任Mary Brosnan回憶説自己“完全不知所措”。醫院工作人員不得不詢問患者關於他們的病史和用藥習慣的記憶，然後創建新的手寫記錄。考慮到並非所有患者都能可靠地回憶這些信息，有些人在用英語交流時可能會遇到困難，這是有風險的。“這真的很可怕，”Brosnan説。“我們最擔心的是，如果我們給一個女性做手術，而我們對她瞭解不夠，她在手術室裏死了。願天佑，因為失血或者因為我們沒有意識到她有這樣或那樣的問題而中風。”

Brosnan攝影師：Ryan Gallagher/Bloomberg醫院的新生兒單位依賴計算機為早產兒制定藥物計算，其中一些早產兒需要呼吸機和重症護理，因此黑客攻擊使其失去了一個關鍵工具。“我們又回到了使用計算器和紙片來計算藥物劑量，”Brosnan説。“如果犯了錯誤，這將改變生活—對家庭和工作人員來説都是改變生活的。”

在聖盧克放射腫瘤網絡在都柏林，這是歐洲最大的癌症患者放射治療中心之一，工作人員匆忙制定了一個照顧300名患者的計劃。第一個嚴酷的步驟是根據他們因治療中斷而面臨的危險對他們進行分類。幾小時內，工作人員已經確定了大約10名需要緊急或姑息護理的患者，並將他們轉移到一個計算機正常運行的私人醫院，根據聖盧克網絡和臨牀主任克萊爾·福爾（Clare Faul）的説法。

然後是孩子們——從4歲到14歲的九名患者。他們的治療依賴於線性加速器機器，這是龐大的高能量X射線設備，用於腫瘤的放射治療。攻擊使醫院所有的機器都無法操作。福爾指示護士打電話給父母，告訴他們他們生病的孩子將在未知期間內無法接受治療。“這是我經歷過的最有壓力的事情之一，”福爾回憶説，她是一名有20年醫療經驗的老兵。

至少都柏林，愛爾蘭最大的城市，有資源來應對危機。（該市20家醫院中有七家是私人擁有的，不依賴HSE的基礎設施；它們開始接收最需要緊急護理的患者。）愛爾蘭的大多數網絡安全專家也在都柏林地區，他們能夠幫助那裏的醫院在最初幾天內恢復至少一些功能。

其他地方的情況更加嚴峻。文森特·喬丹（Vincent Jordan），索爾塔大學醫療保健集團的電子健康主任，這是為該國西部和西北部地區提供服務的HSE網絡，表示一些醫院的實驗室測試能力崩潰了。一個設施本來可以在12小時內處理4,000個測試，但在遭受攻擊後，擴大到24小時服務，仍然只能通過剩下的未受損的計算機每天進行600次測試。

Faul攝影師：Ryan Gallagher/Bloomberg甚至在遭受襲擊之前，患有嚴重健康問題的人有時不得不長途跋涉前往首都接受治療。四歲的患者艾拉娜·福利患有威脅她視力和生命的視神經腫瘤。之前的手術並沒有解決問題，在襲擊當天，她的父母正將她從他們小鎮的家裏帶到都柏林，在那裏開始在城市南部的一家大型兒童醫院接受化療。

在車上，艾拉娜的母親傑拉爾丁·鄧利維聽到了一則關於一家產科醫院遭受網絡攻擊的廣播報道，但並沒有在意。然而，當家人抵達都柏林時，很明顯出了問題會影響艾拉娜。黑客攻擊延遲了她的化療治療一個星期。更糟糕的是，他們原本計劃繼續治療的醫院，比都柏林更靠近他們家，受到了嚴重破壞，他們很可能每次都需要花七個小時的時間前往首都。

幾周後，艾拉娜需要接受手術修復放置在她腦中用於排液的分流管。儘管手術最終安排了，但卻延遲了。鄧利維記得那段極其煎熬的等待。“他們無法查看她的掃描圖像或找到解決方法，”她説。“這似乎持續了很久。”

都柏林的國家產科醫院。插圖：約翰·普羅文切爾為彭博商業週刊繪製在最初的攻擊大約一週後，使用屏幕名Alter的Conti黑客進入了一個內部聊天室並予以譴責。Alter暗示，當時不在聊天室的另一名成員或附屬機構可能已經執行了攻擊，可能沒有得到批准，寫道：“我想説這裏在場的任何人都與這次攻擊無關，我們不會攻擊公共資源、醫院、機場或類似的東西，我們也不會這樣做。”

Conti是一個犯罪團伙，但它採用了一些合法科技企業常見的結構和做法。它採用了網絡安全專家稱之為“勒索軟件即服務”的犯罪商業模式的變體，即一個團體出租惡意軟件供其他犯罪分子使用。在Conti的情況下，它擁有該軟件，但在攻擊本身中保持更積極的角色，幾乎像管理員工一樣對待黑客，管理他們並支付工資。

根據與彭博商業週刊交談的前成員所説，其員工分為多個團隊，每個團隊有大約10人或更多，並有自己的團隊領導。一個團隊收集有關公司活動領域和收入的情報，以及有關員工的詳細信息，例如他們的聯繫信息和個人興趣。然後有惡意軟件開發人員、測試人員致力於繞過流行的防病毒軟件，以及一個專門從事誘使人們點擊妥協電子郵件的網絡釣魚團隊。還有一個談判團隊，他們將直接與受害者打交道，並試圖強迫他們支付贖金，還有一個採購部門購買服務器和其他技術基礎設施。

在HSE黑客事件發生時，Conti並沒有記錄約束。FBI估計，截至2022年1月，該組織對1000多名受害者發動了攻擊，獲得了超過1.5億美元的贖金，而美國國務院正在提供$1000萬懸賞以獲取任何領導人的身份信息。

但安全專家表示，他們已經注意到了關於什麼行為是可以接受的不和諧跡象。愛爾蘭國家網絡安全中心的主任理查德·布朗説：“在攻擊發生時，我們知道組織內部發生了什麼。” 布朗的團隊已經確定了一個子公司，他們懷疑該公司位於俄羅斯聖彼得堡，開發了IcedID，這是黑客在其他攻擊中用來滲透企業網絡的惡意軟件。他説：“這個行動組年輕、更具侵略性，風險承受能力較低。” “我們的評估是，他們在組織內變得非常不受歡迎。”

布朗表示，他甚至知道涉嫌參與該攻擊的具體人員的姓名，儘管只要他們留在俄羅斯，這並沒有什麼好處。（他的調查還得出結論，黑客在掩蓋行蹤方面做得並不好，而HSE的安全團隊應該意識到在Conti首次進入網絡時已經受到了威脅。）

康蒂內部對HSE黑客攻擊引起的不適感是如何演變成決定取消的，仍然是一個神秘。“這讓他們接受了一種他們可能不希望在國內、商業上或國際上受到的關注，”布朗説。“我懷疑在這種情況下，他們減少了損失並逃跑了。”

黑客攻擊一個月後，HSE僅恢復了大約一半的服務器

無論原因是什麼，康蒂的逆轉產生了立竿見影的影響。當HSE收到解密密鑰時，正在嘗試重建其網絡，使用存儲在磁帶上的備份數據恢復計算機。根據HSE的首席信息官弗蘭·湯普森的説法，擁有密鑰使得修復一切變得更快。“如果沒有密鑰，要讓所有這些系統恢復正常所需的時間會更長，”當時負責愛爾蘭國防軍網絡部隊的指揮官史蒂文·基恩説。“那將會更加糟糕。”

即使手中有了密鑰，國防軍這支國家軍隊的團隊仍然每天工作長達17個小時。大約3600台服務器和4萬台台式電腦遭到破壞，解密單個設備需要花費5分鐘到1小時不等，這取決於其中包含的文件數量。

黑客攻擊一個月後，HSE僅恢復了大約一半的服務器。電子病歷系統在約六週時間內仍然無法訪問。襲擊發生四個月後，仍然存在訪問用於評估患者和制定治療計劃的成像系統的問題。HSE現在正在制定一項計劃，對其計算機基礎設施進行全面改造，以及掃描和上傳在中斷期間生成的大量紙質醫療記錄。

恢復計算機系統並不能修復那些依賴它們的人所遭受的損害。患有嚴重癌症的患者不應該在治療中間有超過兩天的間斷，而一週以上的延遲會對康復產生“可量化的影響”，Faul説。2016年《國際放射腫瘤學雜誌》的一項研究還發現，癌症治療期間錯過多次放療會增加疾病復發的風險，即使他們最終完成了療程。

HSE員工能夠相對快速地從備份服務器恢復一些系統，這幫助他們在都柏林市中心的聖詹姆斯醫院重新啓動了四台直線加速器。Faul的聖盧克醫院的兒童被送往距離3.5英里的聖詹姆斯治療中心，由專業的兒科護士和麻醉師陪同。每位患者的治療都必須從頭開始規劃，他們在兩天的間隔後恢復了放療。

患有更常見癌症形式，如乳腺癌和前列腺癌的成年患者有三到六天的較長間斷。其他治療中心恢復放療機器的速度較慢。總共，愛爾蘭境內500多名癌症患者的放療療程被中斷。在科克大學醫院，一些處於最高優先級治療類別的患者經歷了長達17天的間斷。

插圖：約翰·普羅文切爾為彭博商業週刊繪製Conti內部的分歧在攻擊結束後仍在繼續。一個月後，一個自稱為Rashaev的團隊成員在內部聊天中宣佈，Conti“決定完全不觸碰醫療領域。” 但並非所有黑客團伙的成員都聽從了這一指示。2021年10月，一名綽號為Dollar的成員對佛羅里達州的北布羅沃德醫院區進行了攻擊。黑客在一個聊天室中表示，他從網絡中竊取了約8千兆字節的數據。（布羅沃德後來宣佈遭到黑客攻擊，患者數據被竊取，但表示“沒有證據表明信息實際被濫用。”）

這一事件以及其他事件激怒了一個被稱為Cybergangster的Conti團伙成員，在內部聊天中對Dollar的行為感到憤怒。“讓我們把這個傢伙趕出局，”Cybergangster寫道。“他是個混蛋。這是不尊重的。我兩次告訴他我們不觸碰醫療領域。”

Dollar顯然繼續無視這些規則。泄露的聊天記錄顯示，2022年2月，他計劃襲擊一個腦癱慈善機構。他試圖為這次攻擊辯護：“這些不是醫生，也沒有人在喪命。”

這場內訌之所以曝光，是因為一場分裂了該團伙的重大全球危機。許多Conti的核心成員居住在俄羅斯，而且據網絡安全專家稱，該團伙之所以能夠運作，至少在某種程度上得到了俄羅斯政府的默許支持。但它的一些分支機構來自其他國家，包括烏克蘭。當俄羅斯於2022年2月入侵烏克蘭時，Conti的領導層發表了一份公開聲明，支持並威脅要“反擊任何瞄準俄羅斯的“敵人”的關鍵基礎設施”。幾天後，一個名為“ContiLeaks”的匿名Twitter賬號開始在網上發佈數千條內部聊天消息和文件，以及帶有“烏克蘭榮耀”的明顯信息。

Conti於2022年5月解散。據前Conti成員透露，其中許多黑客加入了其他團伙，包括一個名為Black Basta的團伙和另一個名為Quantum的團伙。提供給《商業週刊》的文件顯示，一些前Conti黑客正在使用服務器進行勒索軟件攻擊，目標是北美和歐洲的實體，包括紐瓦克住房管理局、紐約一家律師事務所、加拿大一家物流公司和羅德島一家牙科診所。

Conti解散幾個月後，其中一名前成員同意接受《商業週刊》的採訪。這位記者在2022年8月在一個俄語網絡犯罪論壇上發佈了一則請求，希望採訪與Conti有關的人，一些人在版主封禁該記者之前回復了。在最初要求金錢之後，一位烏克蘭國民，對該團伙領導支持弗拉基米爾·普京入侵的行為感到憤怒，同意無條件交談。

Conti的受害者對犯罪團伙內部因良心危機而引發的痛苦毫無耐心，這是可以理解的。來自聖盧克的Faul在被問及對愛爾蘭遭受攻擊的黑客時仍然憤怒。她表示希望有一天他們會被帶到愛爾蘭法庭受審。她説：“這是最陰險、可怕的事情。如果他們認為可以摧毀一個衞生服務並導致人們潛在喪生，那他們不可能是人類，這是令人震驚的。”

這名黑客稱，他每月獲得約2000美元的固定工資，用於收集有關潛在目標的情報，他並不認為攻擊HSE或其他組織是正當的。相反，他聲稱自己沒有意識到自己行動的後果。他説，關於行動的細節通常不會向各個團隊通報，這些團隊之間相互隔離。他的老闆“從未向我透露我們工作的具體內容。他説，‘你知道的越少，你就會活得更久。’”這名前Conti成員補充説，當醫院遭受攻擊時，他並不知情。“我不知道具體情況。但現在我譴責這種行為，”他説。

儘管面對勒索軟件工作的影響，他並沒有放棄。他説自己生活在俄羅斯，沒有其他謀生途徑。“我真的想離開。但這是我唯一的收入來源，”他説。“相信我，我在信息安全領域可以做很多事情，但我所有的求職都以失敗告終。我真的想工作，並且知道我的工作不會傷害任何人。”閲讀下一篇文章： 間諜軟件終於足夠可怕，讓立法者感到恐慌——因為它監視了他們