Nowe informacje o cyberataku na serwery Europejskiej Agencji Leków

Włamanie do serwerów European Medicine Agency (EMA), która dopuszcza leki i szczepionki do obrotu w krajach Unii Europejskiej, jest oszczędnie komentowane przez agencję, która wydała pięć ogólnikowych komunikatów w tej sprawie https://www.ema.europa.eu/en/news/cyberattack-ema-update-5.
Do 2019 roku EMA miała siedzibę w Londynie. W związku z brexitem konieczne było wybranie nowej siedziby agencji i od 4 marca 2019 jest nią Amsterdam. Na łamach gazety „De Volkskrant” holenderski dziennikarz Huib Modderkolk opublikował 6 marca 2021 r. artykuł o włamaniach do serwerów EMA.

Vivaldigebouw 2019.10.24400

Siedziba Europejskiej Agencji Leków

W wyjaśnienie okoliczności zdarzenia zaangażowani są specjaliści z europejskiego urzędu bezpieczeństwa CERT-EU (https://www.cybersecurityintelligence.com/cert-eu-1925.html) oraz z zespołu ds. przestępstw zaawansowanych technicznie holenderskiej policji.

Po włamaniu na forach internetowych pojawiły się dziesiątki wewnętrznych dokumentów i e-maili EMA. Według agencji dokumenty te zostały zmanipulowane w celu wywołania wątpliwości co do procedur dopuszczania do obrotu i bezpieczeństwa szczepionek.

Według anonimowych źródeł gazety „De Volkskrant” już wiosną 2020 r. doszło do włamania do komputerów EMA, które trwało kilka miesięcy. Jesienią 2020 r. doszło do kolejnych ataków, w których rosyjscy hakerzy wzięli na cel różne organizacje medyczne w Europie. Wysyłali oni wybranym pracownikom EMA e-maile, które wyglądały na pochodzące od kolegi (spearfishing). Kliknięcie na taką wiadomość aktywowało złośliwe oprogramowanie.

Umożliwiło to Rosjanom przechwytywanie ruchu e-mailowego. Ponieważ EMA zabezpieczyła swoją sieć wewnętrzną za pomocą dwustopniowej weryfikacji, hakerzy początkowo mieli ograniczone pole manewru. Zmieniło się to, gdy zauważyli plik zip wysyłany pocztą elektroniczną. Ten plik zawierał token dla nowego użytkownika.

Rosjanie przechwycili ten plik i połączyli token z własnym urządzeniem. W tym momencie system powinien był wydać komunikat o błędzie, aby nie było możliwe użycie kilku tokenów dla tego samego użytkownika. Źródła podają jednak, że EMA wyłączyła tę opcję, przez co system stał się podatny na nadużycia. Nikt nie zauważył, że pracownik loguje się z wielu urządzeń.

Hakerzy ukryli swój własny adres IP i przez ponad miesiąc logowali się niezauważeni. Według źródeł nie tyle interesowała ich technika szczepionek Pfizer/BioNTech i Moderna, co raczej to, które kraje je kupowały i w jakich ilościach.

Włamanie zostało odkryte podczas wewnętrznego audytu. Przeglądając pliki logów, administrator systemu zauważył, że pewien pracownik EMA regularnie loguje się do sieci poza godzinami pracy. Zgodnie z oświadczeniem EMA hakerzy mieli dostęp do „ograniczonej liczby dokumentów stron trzecich”. Biorąc pod uwagę dłuższy okres, w którym intruzi pozostali niezauważeni, można się zastanawiać, co EMA rozumie przez „ograniczoną” liczbę dokumentów. Organizacja nie odpowiedziała na pytania „De Volkskrant” – czytamy na stronach holenderskiej gazety.

Oostenburgereiland oostenburgervaart400

Siedziba redakcji dziennika „De Volkskrant” w Amsterdamie

Nie wiadomo, dlaczego hakerzy zdecydowali się opublikować niektóre z tych dokumentów. Ich motywem mogło być wywołanie zamieszania.

Dokumenty te opublikowano na rosyjskim forum internetowym, opatrując je tytułem Evidences of BIG DATA SCAM of Pfizer’s vaccines. Zawierały one poufne e-maile, dokumenty z procesu oceny, komentarze pracowników EMA. Wynikało z nich, że EMA była presję ze strony Komisji Europejskiej, aby dopuścić szczepionki tak szybko jak to możliwe i aby rejestracja europejska szczepionki nie była dużo późniejsza niż amerykańska dokonywana przez FDA.

Jak wynika z korespondencji prowadzonej przez EMA z Komisją Europejską, dyskusje między tymi instytucjami były „napięte, a czasami nieco nieprzyjemne”.

EMA twierdziła, że dokumenty zostały zmanipulowane, ale nie podała, co dokładnie zostało zmienione. Później okazało się, że dokumenty były autentyczne, ale fragmenty różnych e-maili zostały połączone, ponadto Rosjanie dodawali własne tytuły.

Rosyjscy hakerzy wydawali się szczególnie zainteresowani europejską strategią szczepień i informacjami o tym, jakie szczepionki kupują poszczególne kraje.

EMA ogłosiła w tym tygodniu, że rozpoczęła proces oceny szczepionki sputnik przed ewentualnym jej stosowaniem w Unii Europejskiej. Rzecznik CERT-EU poinformował, że „uważnie monitoruje” sytuację i jest w kontakcie z EMA oraz agencjami śledczymi. W trakcie dochodzenia prowadzonego przez holenderską policję Departament Sprawiedliwości odmówił bliższych informacji. Również holenderska agencja wywiadu cywilnego AIVD również stwierdziła, że „nie może komentować” tego włamania. (K.K.)

Źródło: https://www.volkskrant.nl/nieuws-achtergrond/russian-and-chinese-hackers-gained-access-to-ema~bdc61ba59/?referrer=https%3A%2F%2Fen.wikipedia.org%2F

Źródła ilustracji

https://en.wikipedia.org/wiki/European_Medicines_Agency#/media/File:Vivaldigebouw_2019.10.24_(1).jpg

https://en.wikipedia.org/wiki/De_Volkskrant#/media/File:Oostenburgereiland_oostenburgervaart.jpg

GdL 4_2021