黑客组织Orangeworm通过入侵X射线和核磁共振设备窃取患者数据


全球网络安全领导者赛门铁克(Symantec)在本周一发布的一份报告中称,他们的安全团队发现了一个新的黑客组织,该组织正在全球范围内针对医疗机构和相关组织开展企业间谍活动。

被称为“Orangeworm”的黑客组织被发现在受感染设备上安装了一种极具攻击性的木马病毒,用于控制托管高科技成像系统的设备,如X射线和核磁共振(MRI)成像设备。另外,这种木马病毒也出现在用于协助病患填写同意书的设备上。

报告称,该组织自2015年1月以来就一直保持活跃,它被证实曾对位于美国、欧洲和亚洲的多家大型国际公司发动过攻击,而这些公司主要都属于医疗保健行业。

赛门铁克表示:“我们认为,Orangeworm还针对相关行业的组织进行了有针对性的攻击,作为更大的供应链攻击的一部分,以便接触其预期的受害者。已知的受害者包括医疗服务提供商、制药公司、医疗保健IT解决方案提供商和服务于医疗行业的设备制造商。”

在进入受害者网络后,攻击者安装一个名为“Kwampirs”的木马病毒。该木马会在受感染设备上打开一个用于后续攻击的后门,允许攻击者远程访问设备并窃取敏感数据。

在解密时,Kwampirs木马会将一个随机生成的字符串插入到主DLL有效载荷中,以逃避基于哈希的检测。该木马还会通过启动一项服务来建立持久性,使得自身能够在受感染设备重新启动后自动执行。

然后,Kwampirs会收集一些关于受感染设备的基本信息,并将其发送给由攻击者控制的远程命令和控制(C&C)服务器,攻击者会以此来确定受感染设备是否有发起进一步攻击的价值。

如果攻击者对受感染设备表示“很感兴趣”,那么他们还会通过C&C服务器向Kwampirs发送命令,指示它通过开放的网络共享感染同一组织内的其他设备。

为了尽可能多地收集有关受害者网络的其他信息,Kwampirs会使用系统的内置命令,而不是使用第三方侦察和枚举工具。通过这些命令,它能够窃取的信息包括与最近访问的设备有关的信息、网络适配器信息、可用的网络共享、映射驱动器以及受感染设备上的文件。

正如前面提到的那样,Orangeworm的主要攻击目标集中在医疗保健行业,这些受害者占了约39%。其他遭攻击的行业或多或少都与医疗保健行业存在关联,如制造医疗设备的制造商,为诊所提供服务的技术公司以及提供医疗保健产品运输服务的物流公司。具体包括 IT 行业(15%)、制造业(15%)、物流行业(8%)和农业(8%)。

Orangeworm的受害者组织大都位于美国,约占17%。根据赛门铁克的遥测数据,其他受害者还包括位于沙特阿拉伯、印度、菲律宾、匈牙利、英国、土耳其、德国、波兰、中国香港、瑞典、加拿大、法国等国家和地区的组织。

值得注意的是,根据已知的受害者组织名单,Orangeworm不会随机选择目标或进行机会性黑客攻击。相反,该组织在选择攻击目标方面表现为“十分谨慎”,只会有针对性地发动攻击,并且在发动攻击之前会开展大量计划工作。

Orangeworm的这种运作模式让它看起来很符合APT(Advanced Persistent Threat,高级持续性威胁)组织的特点,但其使用的战术、技术和程序透露出它似乎并不是一个得到了某个国家支持的APT组织。

比如,Orangeworm所使用的Kwampirs木马在网络上传播的方式并不具备隐匿性,很容易被研究人员发现,并且至始至终攻击者都没有对这个木马进行改进。另外,Kwampirs木马的自我复制技术也很老旧,主要针对的是 Windows XP系统。不过这对于医疗保健行业来说是有效的,因为该行业的大量设备运行在Windows XP上,并且很多遗留系统也只能在Windows XP环境中运行。

虽然Orangeworm的确切动机尚不清楚,也没有任何信息可以帮助研究人员确定该组织的来源,但赛门铁克认为该组织可能是为了商业目的(如窃取数据进行出售)而开展间谍活动。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

作者
折腰的五斗米
折腰的五斗米 世间诸多不平,如我码字千万,却换不来你一句留言!!!
分享到