C’était le 5 février 2020. Trois minutes avant une heure de l’après-midi, un pirate a réussi à s’introduire dans le système d’information de l’hôpital universitaire de Brno, qui servait à accéder au réseau interne. L’attaquant y pénètre alors en raison de la vulnérabilité et obtient les données de connexion de l’administrateur supérieur de l’ensemble du système.

Le privilège le plus élevé permet aux pirates de télécharger des logiciels sur le système, qui sont généralement utilisés pour tester la résilience du réseau afin d’éliminer les vulnérabilités. Cependant, c’est l’inverse pour l’attaquant. Cela leur permet de prendre le contrôle du réseau. Après avoir téléchargé le programme, les pirates attendent quelques semaines. C’est arrivé le 13 mars à deux heures vingt du matin. C’était le deuxième jour de l’état d’urgence en raison de l’apparition de la pandémie de coronavirus.

« Il a crypté la plupart des parties serveur du réseau informatique (…) Hôpital général de Brno, rendant ainsi inaccessibles les bases de données et les systèmes informatiques critiques, (…), invalidant toutes les sauvegardes, et les actions susmentionnées peuvent menacer de manière significative le fonctionnement du système. L’hôpital général de Brno, qui est le deuxième plus grand hôpital de la République tchèque », indique la résolution de la police, disponible sur Aktuálně.cz.

« Bonjour hôpital universitaire de Brno »

Aktuálně.cz a attiré l’attention sur le report de l’affaire début juillet. Les documents obtenus montrent pourquoi les enquêteurs de la section cybercriminalité du Centre national contre le crime organisé (NCOZ) n’ont pas réussi à détecter les auteurs. La résolution démontre également l’extraordinaire gravité de l’incident. Au moment de l’attaque, il y avait 1 200 patients à l’hôpital et recevaient en moyenne 60 cas aigus par jour.

« Ces personnes sont en danger d’atteinte grave à leur santé, en même temps tout le personnel médical de l’hôpital général de Brno ne peut pas utiliser le système électronique, il est interdit aux médecins d’utiliser la documentation médicale électronique, (…), ce qui interfère considérablement avec le travail l’efficacité de l’ensemble de l’établissement médical », a écrit la police.

Il ressort de la résolution que des dizaines de systèmes, y compris ceux contenant des images de documentation médicale, étaient en panne à cause de l’attaque. L’hôpital a dû annuler la chirurgie prévue, annuler les examens qui avaient été ordonnés. Il a dû annuler immédiatement l’admission de patients aigus et les envoyer dans un autre hôpital.

Outre le système défectueux, les pirates ont également laissé une note de rançon. L’e-mail de chantage était adressé à « Hello University Hospital Brno ». Il a écrit à l’hôpital que s’ils le payaient, il déverrouillerait le système crypté. Cependant, il n’a pas précisé le montant nécessaire. Les hôpitaux ne paient pas. Cependant, il a calculé les dégâts laissés après l’incident. Ils ont atteint la somme de 150 millions de couronnes.

La France pointe du doigt la Russie

Des pirates ont attaqué des serveurs enregistrés aux États-Unis et en France. Les attaquants se déguisent généralement à travers des pays étrangers et différentes adresses IP pour cacher leur origine. NCOZ s’est tourné vers le FBI, mais les Américains n’ont pas fourni d’aide malgré plusieurs appels urgents du côté tchèque. En revanche, la connaissance partielle vient de France. Et ils désignent la Russie.

« Il a été découvert que le serveur était loué par une société russe, qui l’a loué à une personne non précisée », a indiqué la police. Par conséquent, l’officier de liaison du NCOZ pour la Russie s’est tourné vers le régime de Vladimir Poutine pour obtenir de l’aide. Sa tentative était de savoir qui était la personne mentionnée et s’il fournissait le serveur à quelqu’un d’autre. Cependant, il n’y a pas eu de réaction de Moscou.

Les demandes d’entraide judiciaire internationale sont généralement traitées par la Russie pendant plusieurs mois, voire plusieurs années. L’invasion de l’Ukraine par la Russie en février a enterré l’affaire. Les Tchèques ont rejoint les sanctions internationales contre le régime de Poutine, gelant les relations diplomatiques. De plus, les données de télécommunications ne sont stockées que quelques mois. Le NCOZ a donc décidé, après consultation du bureau du procureur général, qu’il était inutile d’attendre une réponse de la Russie. Il a rejeté l’affaire.

Le hacker peut faire ce qu’il veut

Les enquêteurs criminels ne savent pas comment l’attaquant a réussi à faire le premier pas, à savoir obtenir les données de connexion au système, à partir desquelles il a pénétré plus profondément dans la cyberinfrastructure de l’hôpital. La clé de l’intensité de l’attaque est le fait que les pirates usurpent le pouvoir des administrateurs système. Ses mains étaient alors libres.

Président honoraire de l’Institut tchèque des responsables de la sécurité de l’information Aleš pidla. | Photo: Aleš pidla

« Lorsqu’un compte d’administrateur de domaine est abusé et que les politiques d’utilisation de ce compte privilégié ne sont pas correctement définies, un attaquant peut nuire partout où l’administrateur de domaine peut l’atteindre. S’il va partout, alors l’attaquant y arrive aussi », a-t-il décrit. Aktually.cz président honoraire de l’Institut tchèque des gestionnaires de la sécurité de l’information Aleš pidla.

Dans une telle position, un attaquant pourrait violer les principes de base de la cybersécurité – confidentialité, intégrité et disponibilité. Autrement dit, il se connecte à toutes les parties du système, peut modifier tous les fichiers qu’il contient et peut refuser son service aux autres utilisateurs. « En gros, il peut faire ce qu’il veut dans l’infrastructure d’information. Le plus simple est de lancer le cryptage sous le compte acquis avec des privilèges élevés et c’est fait », conclut pidla.

La restauration du système est toujours en cours aujourd’hui

« Par exemple, après un accident vasculaire cérébral sur un angiogramme, les neurochirurgiens doivent l’évaluer et décider si une intervention chirurgicale est nécessaire. Ils avaient l’habitude de voir des images de chez eux, mais après l’attaque, ils ne pouvaient plus se connecter depuis chez eux. perdu du temps », a déclaré le directeur de la maison. La maladie de Jaroslav těrba a précédemment expliqué à Aktuálně.cz l’un des nombreux impacts.

Pendant deux mois après l’attaque, le système d’information central de l’hôpital a fonctionné de manière temporaire. Il était nécessaire de remettre en marche l’intranet et la messagerie électronique. Un an après l’attentat, les systèmes utilisés par les équipements de laboratoire sont toujours en cours de nettoyage. Un pirate informatique a volé des données organisationnelles, des contrats et des documents scientifiques dans un hôpital. Au lieu de cela, il est possible de stocker la documentation du patient, les données radiologiques et de laboratoire.

« Nous récupérons progressivement les données de certaines sauvegardes, mais pas toutes. À la suite de l’attaque, nous avons perdu des données du système d’information interne utilisées dans le processus de gestion de l’hôpital. C’était un problème interne pendant de nombreuses années de développement, et le système et les données récupération. toujours en cours », a-t-il résumé l’état actuel de l’infrastructure informatique de l’hôpital universitaire de Brno, son porte-parole Václav Janištin.