Stopy devastujícího kyberútoku na druhou největší nemocnici v Česku vedou do Ruska

Jan Horák Jan Horák
13. 7. 2022 5:30
Největší kybernetický útok na české zdravotnické zařízení v historii má ruskou stopu. Vyplývá to z policejního usnesení, které Aktuálně.cz získalo. Kriminalisté z Národní centrály proti organizovanému zločinu rozkrývali okolnosti kyberútoku na Fakultní nemocnici Brno. Hacker druhou největší nemocnici v Česku zásahem ochromil. Konkrétního pachatele se policii odhalit nepodařilo.
Ředitel Fakultní nemocnice Brno Jaroslav Štěrba na tiskové konferenci v reakci na kybernetický útok, 13. března 2020.
Ředitel Fakultní nemocnice Brno Jaroslav Štěrba na tiskové konferenci v reakci na kybernetický útok, 13. března 2020. | Foto: ČTK

Bylo 5. února 2020. Tři minuty před jednou hodinou odpoledne se hackerovi podařilo přihlásit se do informačního systému Fakultní nemocnice Brno, jenž slouží k přístupu do vnitřní sítě. Útočník do ní kvůli zranitelnosti následně pronikl a získal přihlašovací údaje nejvyššího správce celého systému.

Nejvyšší oprávnění umožnilo hackerovi nahrát do systému software, jenž obvykle slouží k testování odolnosti sítě, aby se odstranily její slabiny. Útočníkům však slouží k opaku. Dovoluje jim se sítě zmocnit. Po nahrání programu hacker pár týdnů čekal. Udeřil 13. března dvacet minut po druhé hodině ráno. Byl druhý den nouzového stavu kvůli vypuknutí pandemie koronaviru.

"Zašifroval většinu serverové části počítačové sítě (…) FN Brno, čímž došlo k znepřístupnění důležitých počítačových databází a systémů, (…), znehodnotil veškeré zálohy, přičemž uvedeným jednáním mohl významně ohrozit provoz FN Brno, jež je druhou největší nemocnicí v České republice," stojí v policejním usnesení, jež má Aktuálně.cz k dispozici.

"Hello University Hospital Brno"

Aktuálně.cz na odložení případu upozornilo na počátku července. Ze získaného dokumentu plyne, proč se vyšetřovatelům ze sekce kybernetické kriminality Národní centrály proti organizovanému zločinu (NCOZ) nepodařilo pachatele odhalit. Usnesení také dokládá mimořádnou závažnost incidentu. V době útoku bylo v nemocnici 1200 pacientů, navíc přijímala v průměru 60 akutních případů denně.

"Tyto osoby byly vydány v nebezpečí těžké újmy na zdraví, současně veškerý zdravotnický personál FN Brno nemohl používat elektronický systém, lékařům bylo znemožněno využívat elektronickou zdravotnickou dokumentaci, (…), čímž byla významně narušena efektivita práce celého zdravotnického zařízení," píše policie.

Z usnesení vyplývá, že kvůli útoku vypadly desítky systémů včetně těch obsahujících obrazovou zdravotnickou dokumentaci. Nemocnice musela zrušit plánované operace, odvolala objednaná vyšetření. Musela okamžitě zrušit příjem akutních pacientů a posílala je do jiných nemocnic.

Kromě rozvráceného systému po sobě nechal hacker také žádost o výkupné. Vyděračský e-mail nadepsal "Hello University Hospital Brno". Nemocnici napsal, že pokud mu zaplatí, zašifrované systémy odblokuje. Výši požadované částky však neuvedl. Nemocnice nezaplatila. Vyčíslila však škody, které po incidentu zůstaly. Dosáhly výše 150 milionů korun.

Francouzi ukázali na Rusy

Hacker udeřil prostřednictvím serverů registrovaných ve Spojených státech a Francii. Útočníci se běžně maskují přes cizí země a různé IP adresy, aby zakryli svůj původ. NCOZ se obrátila na FBI, Američané však navzdory několika urgencím z české strany pomoc neposkytli. Z Francie naopak dílčí poznatky dorazily. A ukázaly na Rusy.

Fakultní nemocnice v Brně má přes dva tisíce akutních lůžek, ročně ošetří milion pacientů.
Fakultní nemocnice v Brně má přes dva tisíce akutních lůžek, ročně ošetří milion pacientů. | Foto: FN Brno

"Bylo zjištěno, že server měla pronajatý ruská společnost, která jej dále pronajímala neustanovené osobě," uvádí policie. Styčný důstojník NCOZ pro Rusko proto požádal režim Vladimira Putina o pomoc. Snahou bylo zjistit, kdo je zmíněnou osobou a zda neposkytovala server někomu dalšímu. Z Moskvy však reakce nepřišla.

Žádost o mezinárodní právní pomoc obvykle vyřizují Rusové několik měsíců i let. Únorová invaze Ruska na Ukrajinu kauzu pohřbila. Česko se připojilo k mezinárodním sankcím vůči Putinovu režimu, což diplomatické vztahy zmrazilo. Telekomunikační údaje se navíc uchovávají jen pár měsíců. NCOZ se proto po konzultaci s Nejvyšším státním zastupitelstvím rozhodla, že čekat na odpověď od Rusů nemá smysl. Případ odložila.

Hacker si mohl dělat, co chtěl

Jak se útočníkovi podařilo podniknout první krok, tedy získat přihlašovací údaje do systému, odkud pronikal hlouběji do kybernetické infrastruktury nemocnice, kriminalisté nezjistili. Klíčovým pro intenzitu útoku se stalo to, že se hacker zmocnil pravomocí správce systému. V té chvíli měl volné ruce.

Čestný prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla.
Čestný prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla. | Foto: Aleš Špidla

"V okamžiku, kdy je zneužit účet doménového administrátora a špatně nastavené zásady pro práci s tímto privilegovaným účtem, může útočník škodit všude tam, kam se doménový administrátor může dostat. Pokud se dostane všude, tak se tam dostane i útočník," popsal Aktuálně.cz čestný prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla.

V takové pozici může útočník prolomit základní principy kyberbezpečnosti - důvěrnost, integritu a dostupnost. Čili se dostane do všech částí systému, může v něm změnit libovolné soubory a dokáže odepřít jeho služby jiným uživatelům. "V podstatě si v informační infrastruktuře může dělat, co chce. Nejjednodušší je pod získaným účtem s vysokými oprávněními spustit šifrování a je vymalováno," uzavřel Špidla.

Obnova systému probíhá dodnes

"Například po vyšetření cévní mozkové příhody na angiografu je potřeba, aby ho vyhodnotil neurochirurg a rozhodl, zda je nutné provést zákrok. Běžně se na snímky dívali z domova, ale po útoku se z domova nemohli připojit. Museli kvůli tomu přijet, čímž se ztrácel čas," popsal už dříve Aktuálně.cz jeden z mnoha dopadů ředitel nemocnice Jaroslav Štěrba.

Ještě dva měsíce po útoku pracoval centrální informační systém nemocnice v provizorním režimu. Bylo nutné znovu zprovoznit intranet a elektronickou poštu. Rok po útoku se stále čistily systémy využívané laboratorní technikou. Hacker nemocnici připravil o organizační data, smlouvy či vědecké podklady. Naopak se podařilo zachránit dokumentaci pacientů, radiologická a laboratorní data.

"Postupně jsme obnovovali data z některých záloh, avšak všechna data to nebyla. V důsledku útoku jsme přišli o údaje interního informačního systému používaného při řídicích procesech nemocnice. Šlo o mnohaletý interní vývoj a obnova systému i údajů probíhá dodnes," shrnul aktuální stav počítačové infrastruktury Fakultní nemocnice Brno její mluvčí Václav Janištin. 

 

Právě se děje

Další zprávy