英國健保遇網攻3億筆個資流暗網 傳美FBI協同調查

（中央社記者陳韻聿倫敦23日專電）英國國民保健署（NHS）月初遭遇重大網攻，導致約3億筆病患資料近日被發布在暗網，包括HIV（人類免疫缺乏病毒）血液檢測結果。英國媒體報導，美國聯邦調查局（FBI）已加入與英方聯手調查。

這起影響近3500個手術和約診、衝擊大倫敦地區約7家大型醫院及其他醫療院所的網路攻擊事件被專家形容為「NHS近年最重大的病患資料外洩事件」、「英國歷來遭遇最嚴重、危害最大的網攻行動之一」。藉勒索軟體營利的俄語駭客組織「麒麟」（Qilin）20日夜間將盜取的資料公布在暗網。「麒麟」也曾攻擊美國境內的健康照護機構。

公布在暗網的檔案經壓縮後，大小仍近400GB。「麒麟」近日曾威脅遭駭的病理檢驗服務公司Synnovis支付4000萬英鎊（約新台幣16億元）贖金，否則將公布病患資料。不過，面對層出不窮的勒索軟體網攻事件，英國政府敦促受害者勿屈從駭客意志，以免變相鼓勵犯罪。

「泰晤士報」（The Times）今天報導，英國「國家打擊犯罪局」（National Crime Agency, NCA）正與曾遭「麒麟」攻擊的各國執法單位合作進行調查，包括美國。

今年2月，NCA、FBI、歐洲刑警組織（Europol）及日本、澳洲、加拿大等國曾合作打擊另一個同為俄語背景、曾是全球犯行最重大的勒索軟體組織之一Lockbit。NCA當時成功滲透Lockbit的指揮管制系統，並在隸屬Lockbit的暗網網站公告「本網站已遭執法機關控制」。

英國「衛報」（The Guardian）21日援引知情人士說法報導，此次NHS體系遭攻擊，NCA同樣正考慮主動反擊、「報復」駭客組織，並移除外流至暗網的病患個資。

不過，部分網安相關單位人士指出，若駭客已備份，則僅是移除個別網站的資料，效果恐怕有限。「泰晤士報」則報導，試圖移除並取回病患資料仍有意義，因為調查人員可透過分析資料傳輸過程內含的「電子指紋」追捕駭客。

英格蘭NHS在21日發布的聲明指出，NCA和英國「國家網路安全中心」（NCSC）正在核實「麒麟」發布的資料，相關調查恐需時數週。

遭「麒麟」攻擊的Synnovis是英格蘭NHS承包商，主要服務大倫敦地區東南部醫療院所。受網攻影響，Synnovis月初被迫中斷多項病理檢驗服務：各醫療院所無法與Synnovis的伺服器建立安全連線，以即時取得病患的病理學資料，手術和門診因此窒礙難行，特別是輸血作業。NHS評估，相關服務恐得到今年秋天才能完全恢復正常。

代表「麒麟」發言的駭客19日透過加密通訊軟體告訴英國廣播公司（BBC），他們的行動目的是抗議英國政府對某場戰爭的幫助不夠力，網攻受害者該責怪英國政府。「麒麟」未說明其所指「戰爭」為何，也未言明其政治立場或所在位置。

BBC報導，這是「麒麟」首度提到自己的網攻行動具政治動機。自2022年受關注以來，「麒麟」的已知網攻受害者涵蓋企業、學校、醫院、地方政府等，皆無明顯政治色彩。

跨國網安組織「勒索軟體任務小組」（Ransomware Task Force）共同主席、英國智庫「皇家聯合軍事研究所」（RUSI）副研究員艾里斯（Jen Ellis）指出，對「麒麟」這類網路犯罪組織來說，「說謊是家常便飯」。

艾里斯強調，和病患及院方受到的傷害比起來，駭客來自哪裡、為何發動攻擊，是次要問題。

「麒麟」於2022年10月首次公開其攻擊對象，並曾以俄語發布「人才招募」訊息。

美國網安服務公司Secureworks的調查顯示，「麒麟」以俄語為溝通語言，且在其歷來發布的受害者名單中，未見俄羅斯或相對「友俄」、由前蘇聯國家組成的「獨立國家國協」（CIS）成員國。「麒麟」勒索行動的受害者迄今已遍布至少30個國家。

許多分析指出，醫療服務機構是勒索軟體網攻的熱門下手目標，且相較於其他產業，遭勒索的頻率恐怕只會有增無減。

根據分析，主要原因包括相關機構往往儲存大量涉及個人隱私的資料，部分內容甚至可能威脅病患生命安全；受害的機構或個人往往傾向不計代價要贖回遭竊資訊，因此讓駭客有予取予求的空間。（編輯：高照芬）1130623