網絡戰記「零時差」
2019年9月2日的那夜凌晨,九龍灣資訊系統控制中心的電子監察板發出警報,一組電腦系統的負載率突然由10%飆升至70%,並持續一段時間。地氈式偵查後發現,一群網絡黑客正潛行醫院管理局的網絡資訊系統,企圖盜取價值不菲的「寶藏」— 海量的病人資料。一場歷時336小時發生在虛擬世界的攻防戰正式展開……
發現惡意程式攻擊
負載率是指伺服器運行時的系統負荷量,數值突然飆升的情況偶有發生。為免系統因負荷超載而「死機」,資訊科技人員立即通報事件,修復系統,最終負載率回復正常水平。然而,人員在偵查時駭然發現,專業黑客以「零時差攻擊」技術嘗試入侵醫管局資訊系統,並在系統留下難以發現的蹤跡。醫管局立即將事件通知政府資訊科技總監辦公室,以及香港警務處網絡安全及科技罪案調查科。
資訊保安主管余法昌說,這次「零時差攻擊」屬專為醫管局「度身而設」的一次性惡意程式,故有理由相信是一隊專業黑客所為。由於程式從未披露,同事追尋黑客挑戰重重。「當時我們就如憑少量特徵,如在人潮如鯽的年宵市場中找出一個賊。我們推斷黑客數日前已在醫管局系統周邊踩線,就如竊匪勘察目標周圍的地理環境、觀察警衞位置和保安系統水平及運作模式、策劃潛入及逃跑路線、取得解除警報及夾萬開鎖方法等。」
未知數重重 來回攻守
據團隊當時了解,黑客仍未找到存放病人資料的「夾萬」。不過,黑客何時找到夾萬、潛入數量、逃走路線、會否毀滅全部系統資料等,均是未知數,故團隊必須分秒必爭處理事件。
系統分析主任姚偉強稱,黑客透過不同途徑包括盜取遠程登入帳號,並利用位於海外(俄羅斯、美國和新加坡等)電腦發動攻擊。「我們即時提升保安系統設定,封鎖已發現的潛入路線,並加設多重探測器監察黑客活動。同事亦24小時監察系統,確保沒有異常活動或資料外洩。」可是,黑客很快發現保安系統升級,隨即還擊,嘗試拆除追蹤探測器。
提升堵截防禦 黑客停止攻擊
來回攻防期間,同事發現及復修內部系統可被攻擊的地方,並提升防禦,如遠程登入系統由一次密碼登入,提升至雙重密碼登入;發放網絡安全提示,提醒員工保持警覺,避免開啟任何可疑電郵、附件或連結等。為確保黑客並非「裝死」匿藏於系統,資訊科技人員隨即在三個月內重新檢視多部重要的伺服器,提升防禦系統。9月16日,同事再沒有發現黑客的蹤跡,歷時兩周的網戰宣告結束。