美国大选期间，黑客们为何瞄准医院发起网络攻击？

近期，美国多家医院遭受的一波网络攻击使癌症和其他疾病患者的生命受到威胁。

佛蒙特大学医学中心于今年10月下旬遭遇了网络攻击。

10月28日午餐时间，科琳·嘉吉在美国佛蒙特大学医学中心的癌症中心，正在为患者进行化疗输液做准备。刚入医院的新患者有时会感到恐惧，但护士们会试图安抚病人和提供干果什锦和温暖的毯子，以及一个可以欣赏花园景色的座位。

然后，护士们以极高的精度工作：检查血小板和白细胞计数，然后将病人安置下来进行化疗输液。

不过，11月28日那天，嘉吉遇到了难题：当她尝试登录自己的工作站时，系统显示无法登入，她再次尝试时也是如此。于是她转向使用用于传输实验室工作的气动管道系统，但迎面而来的是一个红色警告符号。然后她又转向使用备用计算机，但备用计算机系统也崩溃了。

嘉吉说道：“我当时没有惊慌失措，然后我发现无线电话也无法正常工作。” 嘉吉表示，那是她职业生涯最糟糕的10天的开始。

《纽约时报》报道称，在过去的一年中，对美国卫生系统的网络攻击已成为一种流行趋势，因为俄罗斯网络犯罪分子已经通过勒索软件攻击了许多用于对新冠疫苗进行临床试验和治疗研究的软件，并切断了医院获取患者病历的权限，要求他们用数百万美元的赎金来赎回。

使情况变得更加复杂的是，特朗普上周解雇了 CISA (美国网络安全局）局长克里斯托弗·克雷布斯，他负责防御包括医院和选举在内的关键系统的网络攻击，此前他对特朗普对选民欺诈的毫无根据的言论提出了异议。

随着被攻击的许多家医院争先恐后地恢复其系统，或悄悄地支付赎金，同时医院为防止遭致 FBI (联邦调查局) 调查而选择不泄露相关消息，大多数此类勒索攻击都是私下披露的。

癌症中心的医护人员-科琳·嘉吉

当医疗中心的系统出现故障时，科琳·嘉吉正在让患者接受化疗药的注入。

但此次攻击的破坏性影响持久，特别是对癌症患者。网络攻击发生近一个月后，该医院才恢复了其电子病历系统。

癌症中心护士奥利维亚·汤普森表示，在此期间，临床医生被迫送走了数百名癌症患者。

因为系统瘫痪，工作人员不得不依靠书面笔记和传真，翻阅大量纸张以获取重要信息。他们试图凭借记忆重建复杂的化疗方案。

尽管医院竭尽全力向患者保证可以进行大多数护理工作，但一些工作人员担心，十月份的这场攻击事件带来的全部损失尚未被充分理解。

汤普森表示：“要想从这种情况中恢复过来，将需要几个月的时间。感觉就像我们遗世孤立，没人了解我们的情况有多糟糕。”

癌症中心的护士伊利斯·莱杰也表示，她只能将过去几周的经历与波士顿马拉松爆炸案发生后她在烧伤者病房的工作经历进行比较，而且也不明白此次网络攻击的动机。

01

“我们期望造成恐慌”

据报道，最新一波网络攻击事件导致美国十几家医院被攻击，根据追踪这波攻击事件的研究人员表示：这是由一支特别强大的说俄语的黑客组织进行的，他们通过 TrickBot 部署了勒索软件，这是一个由用于进行网络攻击的受感染计算机组成的庞大僵尸网络。

黑客通常为了牟利而发起攻击。联邦调查局据估计，一些使用一个名为“Ryuk”的勒索软件的网络犯罪分子在2018年和2019年的21个月内共收到超过6100万美元的赎金，创下了记录。

安全研究人员表示，今年春季，网络犯罪分子们一致放缓了在新冠疫情期间攻击医院的行动。但是就在最近的美国总统大选之前，这些犯罪团体又卷土重来了。

密尔沃基 (美国威斯康星州最大城市) 的公司 Hold Security 的 CEO 亚历克斯·霍尔顿表示：“过去，他们瞄准的是世界各地的组织机构，但这一次，他们的目标是针对美国的医院。”

霍尔顿和其他网络安全专家都表示，最近攻击事件的目的和发生的时间表明，其中的动机可能是报复，因为就在几周之前，美国对 TrickBot 采取行动进行打击，目的是确保美国总统选举不受干扰。

在今年9月底和10月底，美国国防部的网络司令部担心网络犯罪分子可能会使用勒索软件破坏选举，因此开始入侵 TrickBot 的系统。此外，微软在联邦法院追查该系统，成功拆除了94％的 TrickBot 服务器。

霍尔顿表示，这些行动使 TrickBot 网络的操作者们受到打击。他的公司 Hold Security 捕获了在 TrickBot 组织内发送的线上消息 (其中包括计划瞄准的 400 家美国医院的名单)，并将此情况告知了执法部门。

在这些消息中，一位黑客使用俄语说道：“我们期望造成恐慌。”

美国官员在10月23日警告医院有关网络攻击的“可信威胁”，紧接着针对许多家医院的一系列不寻常的网络攻击就发生了，包括佛蒙特大学卫生网络和纽约圣劳伦斯县卫生系统在内的多家医院的网络都表示，并未收到黑客的勒索信，但依旧遭到攻击。

网络安全公司 Recorded Future 的分析师艾伦·利斯卡表示，有其它医院称，勒索赎金要求“八位数金额，但这是地区医疗保健系统拿不出来的金额。”

他表示，这些不寻常的要求，加上这波攻击事件的协调性，使得这波攻击“看来这是一种破坏性攻击”，而不是谋取利益。

然而，霍尔顿表示，即使赎金激增至数百万美元，许多医院仍选择与勒索者进行谈判。他说道：“大量受害者医院在自行处理这些攻击。”

02

医院内部的情况

在佛蒙特州，这场攻击带来的损害通过一个庞大的网络散布开来，对癌症中心的影响尤为严重。

佛蒙特大学医学中心的主管护士嘉吉表示：“我的好朋友们是 ICU 护士，他们觉得 (攻击) 没什么大不了的，当下要做的就是纸上制图。”但是，癌症中心已经拖延了数周，只能为四分之一的正常化疗患者提供服务。

此外的其他时间，嘉吉只能把病人拒之门外。这样过了一个月之后，嘉吉在描述这段经历时泣不成声。

她说道：“看着某个人的眼睛并告诉他，他无法获得延长生命或挽救生命的治疗，这是很可怕的，而且令人心碎。”被嘉吉告知无法在该医院获得治疗的一位病人，瞬间嚎啕大哭。

嘉吉表示：”这位被拒的病人说道‘我必须接受化疗，我是两个小孩的母亲’。“她是如此恐惧，这种恐惧是非常明显的。”

在随后的日子里，该部门的临床医生试图对部分患者进行优先考虑，凭借记忆重新创建化疗方案，并借助备用图表信息进行辅助。

该癌症中心的护士伊利斯道：“他们试图记起对病人的一切情况，但这些都不是准确的。我们的大脑并非电子医疗记录。这种方式并不安全，我们都知道。”

癌症中心的医护人员-伊利斯

伊利斯表示不理解为什么攻击者会将目标锁定医院。

伊利斯表示，患者“对何时能够接受治疗感到迷茫”，许多居住在农村地区的癌症患者没有足够的资源开车去波士顿接受四个小时的治疗。她说道：

“这在某种程度上会引起恐慌。联邦政府和全国范围内的反应是让我觉得我们被遗弃的原因，也许有些事情我不清楚。

议员们也指责特朗普政府玷污了联邦政府的姿态。

报道称，在《纽约时报》获取的一封电子邮件中显示，密歇根州民主党参议员，国土安全委员会成员加里·彼得斯称，特朗普解雇克雷布斯 (美国网络安全局局长) 的行为令人无法接受，并补充称，在当前大流行期间，特朗普此举不利于 CISA 试图缓解此次攻击给医院带来的影响。

密歇根州参议员-加里·彼得斯

密歇根州参议员加里·彼得斯表示，特朗普解雇美国网络安全局局长的行为造成了该网络安全局的不稳定。

佛蒙特大学卫生网络的管理员承认，恢复网络服务的难度远远超出了他们的预期。该系统运营负责人 Al Gobeille 表示：“我们原以为仅需几天或几周。但我们错了。”

Gobeille 表示，已部署了大量信息技术专业人员 (包括300名医院员工和10名国民警卫队成员)，以重建和清理 1,300 台服务器以及 5,000 台笔记本电脑和台式计算机。他补充道，该医院的网络系统瘫痪之后的两天，一支由7名FBI调查员组成的团队来现场呆了两天，但此后与该医院的管理员几乎没有联系。

Gobeille 说道，随着电子病历系统的恢复，发文时医院的系统已恢复了75％至80％。

这波针对医院的网络攻击的动机仍不清楚。在上个月的新闻发布会上，佛蒙特大学健康网络医学中心总裁斯蒂芬·莱夫勒博士表示，他并没有收到索要赎金的要求。不过从那以后，应联邦调查局的要求，该医院的管理人员一直谨慎地避免讨论赎金问题或确认勒夫勒博士的陈述。

一些患者抱怨称他们的治疗被搁置，不确定何时恢复治疗。

现年37岁的患者肖恩·麦卡弗里被安排在网络攻击发生当天的下午去看心脏病专家，因为他一直胸口痛。他表示，他此后一直为被安排重新会诊。

麦卡弗里说道：“这真的很麻烦，因为我对当地的医院失去了信心。有人告诉我会给我打电话。但已经三个星期了，我不知道该怎么办。”

其他患者则表示，他们仍在等待进行一些身体扫描。在此次攻击导致系统瘫痪的前两天，现年47岁的患者达米安·穆尼 收到了放射科医生要求其进行肩膀 MRI (核磁共振) 扫描的通知，这表明其骨癌可能已经复发。

穆尼的妻子表示，自从网络攻击以来，扫描一直无法进行，因此没有医生能够说出这名放射科医生的通知是否正确。