CISA Temukan Backdoor di Alat Medis, Data Pasien Bocor ke China

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengeluarkan peringatan terkait ditemukannya backdoor dalam perangkat medis Contec CMS8000, yang digunakan untuk memantau kondisi pasien di berbagai rumah sakit. Backdoor ini memungkinkan pihak yang tidak berwenang mengakses data pasien serta menjalankan perintah dari jarak jauh. Lebih mengejutkan lagi, perangkat ini diduga mengirim data sensitif ke sebuah alamat IP di China.

CISA Temukan Koneksi Mencurigakan

CISA mulai menyelidiki perangkat Contec CMS8000 setelah mendapatkan laporan dari seorang peneliti keamanan. Dalam analisis terhadap tiga paket firmware dari perangkat ini, ditemukan bahwa alat tersebut diam-diam terhubung ke sebuah alamat IP eksternal yang tidak berafiliasi dengan Contec. Alamat ini terkait dengan sebuah universitas di China, yang memicu kekhawatiran akan adanya pencurian data pasien.

Lebih dari sekadar mengirim data, perangkat ini juga memiliki kemampuan untuk mengunduh dan menjalankan file dari sumber eksternal tanpa sepengetahuan pengguna. Hal ini menandakan adanya backdoor yang memungkinkan pihak luar untuk mengambil kendali penuh atas perangkat, mengubah data medis, atau bahkan menggunakannya sebagai sarana serangan siber.

Bagaimana Backdoor Ini Bekerja?

Saat menganalisis firmware perangkat, CISA menemukan bahwa ada sebuah program tersembunyi bernama “monitor” yang beroperasi dalam sistem Linux perangkat ini. Program tersebut memiliki serangkaian perintah yang memungkinkan perangkat untuk:

1. Mengaktifkan adaptor jaringan sehingga perangkat bisa terhubung ke internet.
2. Mengakses penyimpanan jarak jauh yang berisi file eksternal.
3. Mengunduh file dari server yang tidak dikenal dan menyimpannya ke dalam sistem perangkat.
4. Menyalin ulang file ke lokasi yang lebih dalam di sistem untuk menjalankan perintah tambahan.
5. Memutus koneksi setelah proses selesai, sehingga aktivitas mencurigakan sulit terdeteksi.

Selain itu, perangkat ini juga ditemukan mengirim data pasien ke alamat IP yang mencurigakan melalui port 515, yang seharusnya digunakan untuk protokol Line Printer Daemon (LPD). Data yang dikirim meliputi nama dokter, ID pasien, nama pasien, tanggal lahir, dan informasi medis lainnya.

Bukan Fitur Pembaruan, Tapi Backdoor Berbahaya

Menurut CISA, fitur ini bukanlah sistem pembaruan perangkat lunak, melainkan backdoor yang sengaja ditanamkan dalam perangkat. Dengan adanya fitur ini, peretas bisa mengubah konfigurasi perangkat tanpa sepengetahuan tenaga medis. Hal ini berpotensi menyebabkan manipulasi data pasien, yang dapat berdampak fatal dalam pengambilan keputusan medis.

Lebih buruknya lagi, backdoor ini tidak meninggalkan jejak dalam log sistem, sehingga administrator jaringan atau tenaga medis tidak akan menyadari bahwa perangkat telah disusupi.

Dugaan Keterlibatan Pihak Lain

Berdasarkan laporan dari BleepingComputer, alamat IP yang digunakan dalam kasus ini juga ditemukan pada perangkat medis lainnya, termasuk monitor pasien kehamilan dari produsen China lainnya. Ini menimbulkan dugaan bahwa lebih dari satu perangkat medis telah dilengkapi dengan backdoor yang serupa.

Jika benar, maka ini bukan hanya masalah keamanan siber biasa, melainkan ancaman serius terhadap privasi dan keselamatan pasien secara global. Bayangkan jika peretas dapat mengendalikan alat-alat medis yang krusial di rumah sakit, mereka bisa mencuri data pasien dalam jumlah besar atau bahkan mengacaukan operasi rumah sakit.

Upaya Perbaikan dan Respons Contec

Setelah dihubungi oleh CISA, pihak Contec memberikan pembaruan firmware yang diklaim dapat mengatasi masalah ini. Namun, setelah dilakukan pengujian, ternyata kode berbahaya masih tetap ada dalam pembaruan terbaru tersebut.

Satu-satunya perubahan yang dilakukan oleh Contec adalah menonaktifkan adaptor jaringan perangkat untuk mencegah koneksi ke alamat IP yang mencurigakan. Namun, solusi ini tidak cukup efektif, karena backdoor memiliki kemampuan untuk mengaktifkan kembali adaptor jaringan secara otomatis sebelum melakukan aksinya.

Saat ini, tidak ada pembaruan firmware resmi yang benar-benar menghapus backdoor dari perangkat. Ini menimbulkan kekhawatiran besar bagi rumah sakit dan institusi medis yang masih menggunakan perangkat ini.

Rekomendasi untuk Rumah Sakit dan Tenaga Medis

Karena belum ada solusi permanen dari Contec, CISA mengimbau rumah sakit dan institusi medis untuk segera mengambil tindakan pencegahan, di antaranya:

• Lepaskan perangkat Contec CMS8000 dari jaringan rumah sakit guna mencegah pencurian data dan akses tidak sah.
• Lakukan pemeriksaan data pasien secara manual untuk memastikan tidak ada manipulasi atau perubahan yang mencurigakan.
• Gunakan perangkat medis dari produsen terpercaya yang telah menjalani uji keamanan ketat sebelum digunakan dalam fasilitas kesehatan.
• Segera laporkan jika menemukan aktivitas jaringan yang mencurigakan pada perangkat medis yang terhubung ke sistem rumah sakit.

Dengan semakin banyaknya serangan siber yang menyasar industri kesehatan, keamanan perangkat medis harus menjadi prioritas utama. Tidak hanya melindungi data pasien, tetapi juga memastikan bahwa alat-alat yang digunakan dalam dunia medis benar-benar aman dan bebas dari campur tangan pihak asing.

Temuan ini menunjukkan bahwa ancaman siber kini tidak hanya menyasar data keuangan atau bisnis, tetapi juga sistem kesehatan yang menangani data pasien. Dengan adanya backdoor dalam perangkat medis, peretas memiliki kesempatan untuk mencuri, memodifikasi, atau bahkan mengontrol alat-alat yang sangat krusial bagi keselamatan pasien.

CISA dan berbagai lembaga keamanan siber lainnya terus melakukan investigasi lebih lanjut untuk memastikan bahwa perangkat medis yang digunakan di rumah sakit bebas dari ancaman ini. Sementara itu, institusi medis harus lebih berhati-hati dalam memilih perangkat yang digunakan dan selalu memastikan bahwa sistem mereka terlindungi dari potensi serangan siber.