遭骇客入侵资料库 英国3亿笔病患资料流入暗网

英国国民保健署（NHS）月初遭遇重大网攻，导致约3亿笔病患资料近日被发布在暗网，包括艾滋病（人类免疫缺乏病毒，HIV）血液检测结果。英国媒体报导，美国联邦调查局（FBI）已加入与英方联手调查。

这起影响近3500个手术和约诊、冲击大伦敦地区约7家大型医院，及其他医疗院所的网路攻击事件被专家形容为“NHS近年最重大的病患资料外泄事件”、“英国历来遭遇最严重、危害最大的网攻行动之一”。

藉勒索软体营利的俄语骇客组织“麒麟”（Qilin），于6月20日夜间将盗取的资料公布在暗网。该骇客组织也曾攻击美国境内的健康照护机构。

曾勒索4000万英镑

公布在暗网的档案经压缩后，大小仍近400GB。“麒麟”近日曾威胁遭骇的病理检验服务公司Synnovis，支付4000万英镑赎金，否则将公布病患资料。

不过，面对层出不穷的勒索软体网攻事件，英国政府敦促受害者勿屈从骇客意志，以免变相鼓励犯罪。

《泰晤士报》报导，英国国家打击犯罪局（National Crime Agency, NCA），正与曾遭“麒麟”攻击的各国执法单位合作进行调查，包括美国。

今年2月，NCA、FBI、欧洲刑警组织（Europol）及日本、澳洲、加拿大等国，曾合作打击另一个同为俄语背景、曾是全球犯行最重大的勒索软体组织之一Lockbit。

英国当局称将反击

NCA当时成功渗透Lockbit的指挥管制系统，并在隶属Lockbit的暗网网站公告“本网站已遭执法机关控制”。

英国《卫报》早前援引知情人士说法报导，此次NHS体系遭攻击，NCA同样正考虑主动反击、报复骇客组织，并移除外流至暗网的病患个资。

不过，部分网安相关单位人士指出，若骇客已备份，则仅是移除个别网站的资料，效果恐怕有限。《泰晤士报》则报导，试图移除并取回病患资料仍有意义，因为调查人员可透过分析资料传输过程内含的“电子指纹”追捕骇客。

系统需长时间修复

英格兰NHS之前发布的声明指出，NCA和英国国家网路安全中心（NCSC），正在核实“麒麟”发布的资料，相关调查恐需时数周。

遭“麒麟”攻击的Synnovis是英格兰NHS承包商，主要服务大伦敦地区东南部医疗院所。受网攻影响，Synnovis月初被迫中断多项病理检验服务。

各医疗院所无法与Synnovis的伺服器建立安全连线，以即时取得病患的病理学资料，手术和门诊因此窒碍难行，特别是输血作业。NHS评估，相关服务恐得到今年秋天才能完全恢复正常。

代表“麒麟”发言的骇客早前透过加密通讯软体告诉英国广播公司（BBC），他们的行动目的是抗议英国政府对某场战争的帮助不够力，网攻受害者该责怪英国政府。“麒麟”未说明其所指“战争”为何，也未言明其政治立场或所在位置。

骇客组织较“友俄”

BBC报导，这是该组织首度提到自己的网攻行动具政治动机。自2022年受关注以来，“麒麟”的已知网攻受害者涵盖企业、学校、医院、地方政府等，皆无明显政治色彩。

跨国网安组织勒索软体任务小组”共同主席、英国智库皇家联合军事研究所（RUSI）副研究员艾里斯（Jen Ellis）指出，对“麒麟”这类网路犯罪组织来说，说谎是家常便饭。

艾里斯强调，和病患及院方受到的伤害比起来，骇客来自哪里、为何发动攻击，是次要问题。

保健医疗机构成目标

美国网安服务公司Secureworks的调查显示，“麒麟”以俄语为沟通语言，且在其历来发布的受害者名单中，未见俄罗斯或相对“友俄”、由前苏联国家组成的“独立国家国协”（CIS）成员国。“麒麟”勒索行动的受害者迄今已遍布至少30个国家。

许多分析指出，医疗服务机构是勒索软体网攻的热门下手目标，且相较于其他产业，遭勒索的频率恐怕只会有增无减。

根据分析，主要原因包括相关机构往往储存大量涉及个人隐私的资料，部分内容甚至可能威胁病患生命安全；受害的机构或个人往往倾向不计代价要赎回遭窃资讯，因此让骇客有予取予求的空间。