Кардиостимуляторы St. Jude Medical оказались уязвимы для атак

Кардиостимуляторы St. Jude Medical оказались уязвимы для атак

В конце августа 2016 года исследователи стартапа MedSec и представители инвестиционной фирмы Muddy Waters Capital выступили со смелым заявлением: якобы медицинское оборудование компании St. Jude Medical содержит многочисленные уязвимости и представляет опасность для пациентов.

Тогда исследователи и инвесторы представили совместный аналитический отчет, который содержал мало конкретных данных о найденных уязвимостях, но все равно спровоцировал стремительное падение акций St. Jude Medical.

Представители St. Jude Medical, в свою очередь, ответили на совместный доклад двух компаний развернутым опровержением. Компания подчеркивала, что многие обвинения MedSec и Muddy Waters попросту невозможно проверить, а другие обвинения и вовсе были названы ложью. К примеру, в докладе исследователи заявляют, что удаленная атака на кардиооборудование возможна с расстояния пятнадцати метров, и отмечают, что расстояние, на котором можно получить доступ к девайсу, крайне желательно сократить. Представители St. Jude Medical сообщают, что эти заявления ложны, так как доступ к прибору можно получить лишь на расстоянии, не превышающем два метра, пишет xakep.ru.

В итоге St. Jude Medical подала на MedSec и Muddy Waters в суд, и разбирательство продолжается до сих пор. Представители St. Jude Medical обвинили исследователей и инвесторов в том, что те преследовали финансовую выгоду, намеренно опубликовав доклад и спровоцировав падение стоимости акций компаний. Напомню, что сами MedSec и Muddy Waters не отрицали своей финансовой выгоды, но также заявляли, что если бы они обратились к разработчику уязвимых устройств напрямую, то представители St. Jude Medical просто «замели бы проблему под ковер», а исследователи MedSec хотели привлечь внимание к происходящему.

Но оставим за скобками правовые и финансовые аспекты. Куда более интересен тот факт, что уязвимости в оборудовании St. Jude Medical оказались настоящими и весьма опасными. Данным инцидентом еще осенью прошлого года заинтересовалось Управление по контролю за продуктами и лекарствами США (Food and Drug Administration, FDA), которое инициировало расследование случившегося. В октябре 2016 года независимые исследователи подтвердили выводы исследователей MedSec, то есть обнаружили уязвимости в медицинском оборудовании производителя. Представители FDA сообщили, что до эксплуатации проблем злоумышленниками дело, к счастью, не дошло, однако они не стали приуменьшать важность проблемы:

«Эксплуатация данных уязвимостей позволяет неавторизованному пользователю получить удаленный доступ к имплантированному пациенту RF-кадиоустройству, подменив передатчик Merlin@home. Такой передатчик Merlin@home может использоваться для модификации программных команд имплантированного устройства, что может привести к истощению заряда его батареи, а также к установлению некорректного сердечного ритма или некорректной подаче разряда», — гласит отчет FDA.

В начале января 2017 года St. Jude Medical завершила сделку с Abbott Laboratories, запланированную еще в прошлом году, и практически сразу после этого компания сообщила о выпуске обновлений для серии устройств Merlin, которые работают с кардиостимуляторами и кардиодефибрилляторами компании. Согласно официальному пресс-релизу St. Jude Medical, с выходом обновлений были устранены «незначительные проблемы с кибербезопасностью».

На выпуск патчей уже отреагировали представители MedSec и Muddy Waters, которые, как ни странно, по-прежнему недовольны действиями St. Jude Medical:

«Сначала St. Jude яро отрицали тот факт, что их медицинские устройства страдают от уязвимостей и подали на нас в суд, а теперь St. Jude выпустили заявление, которое, по сути, подтверждает правоту исследования, ранее опубликованного MedSec и Muddy Waters.

Это признание назревало давно, а тот факт, что оно было сделано спустя считанные дни после продажи St. Jude компании Abbott Laboratories, лишний раз убеждает нас в том, что компания ставит свои прибыли выше пациентов. Также это убеждает нас в том, что если бы мы не заявили об этих [проблемах] публично, в St. Jude не стали бы исправлять уязвимости.

Как бы то ни было, не похоже, чтобы анонсированные исправления решали другие, куда более серьезные проблемы, включая наличие универсального кода, который может помочь хакерам перехватить контроль над имплантатами».

Представители FDA пообещали продолжить оценку деятельности St. Jude Medical, а также высказались о безопасности подобных медицинских приборов в целом. По мнению FDA «плюсы для здоровья пациентов, которые несет использование таких приборов, перевешивают риски, связанные с кибербезопасностью».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лжесотрудники банков раздают вредоносные апдейты в аэропортах

Мошенники, использующие зловредов для кражи учеток ДБО, начали от имени подсанкционных банков предлагать их для скачивания в крупных аэропортах и вокзалах ж/д. Вредоноса при этом выдают за обновление мобильного приложения.

В качестве предлога пассажиру предлагают поучаствовать в акции и стать обладателем бесплатной кредитки с выгодным лимитом. Если тот согласен, выясняется, что в его версии мобильного банка этой акции нет, и приложение нужно обновить.

В магазинах Google и Apple софт недоступен: его удалили из-за западных санкций, однако лжесотрудник банка может решить проблему, прислав сообщение со ссылкой для загрузки. Как вариант, потенциальной жертве предлагается подключиться к ноутбуку обманщика «через проводочек» и скачать с него прогу.

Вредоносный апдейт, по свидетельству SafeTech, неотличим от легитимного банковского клиента. После входа логин и пароль попадают в руки мошенников; чтобы ими воспользоваться на другом устройстве, потребуется одноразовый код, высылаемый банком (СМС) для подтверждения смены привязки. Добыть его помогает все тот же зловред, установленный на телефоне жертвы.

Получив нужные ключи, злоумышленники не мешкают. Пока жертва на борту самолета (или в поезде дальнего следования) и не может получить алерт банка из-за плохой связи, с ее счета выводятся деньги.

Подобный сценарий вполне может выстрелить. Из-за санкций приложения многих российских банков удалены из App Store и Google Play, и кредитно-финансовым организациям приходится искать альтернативы для обновления клиентского софта. Апдейты могут публиковать под другими названиями и от имени других разработчиков. Их также предлагают в отделениях банков, где помощь окажут сотрудники.

Выбор аэропортов и вокзалов тоже в данном случае оправдан: банки давно уже используют залы ожидания для оформления карт и проведения других маркетинговых кампаний. Такие места всегда под охраной, и обман кажется маловероятным.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru