Исследователи безопасности из компании Symantec обнаружили новую хакерскую группировку, получившую название Orangeworm.
Основной целью злоумышленников являются организации, связанные со сферой здравоохранения.
Группировка инфицирует компьютеры, использующие программное обеспечение для управления высокотехнологичными устройствами обработки изображений, такими как рентгеновские и МРТ-аппараты, а также устройства, предназначенные для оказания помощи пациентам в заполнении форм согласия. По словам исследователей, Orangeworm осуществляет активную деятельность с начала 2015 года, атакуя системы крупных международных корпораций из США, Европы и Азии, работающих в сфере здравоохранения.
«Мы считаем, что активность хакеров в данной отрасли является частью более масштабной атаки на цепочку поставок, чтобы получить доступ к целям, связанным со здравоохранением,», – отметили специалисты.
После проникновения в сеть жертвы злоумышленники устанавливают троян, получивший название Kwampirs, который создает на взломанных компьютерах бэкдор, позволяя злоумышленникам получить удаленный доступ к оборудованию и похитить конфиденциальные данные.
Помимо этого, Kwampirs вставляет случайным образом сгенерированную строку в свою основную DLL-библиотеку, пытаясь избежать обнаружения на основе хэшей. Вредоносная программа также запускает на скомпрометированных системах специальную службу для сохранения и перезапуска после перезагрузки устройства.
Вредонос способен собирать базовую информацию о взломанных компьютерах и отправлять ее злоумышленникам на удаленный С&C-сервер. Таким образом хакеры определяют, кем и с какой целью используется взломанная система. Если жертва представляет для злоумышленников интерес, вредоносное ПО стремительно распространяется по открытым сетевым ресурсам, заражая другие компьютеры организации.
Для сбора дополнительной информации о сети жертвы и скомпрометированных устройствах, Kwampirs использует встроенные команды системы, позволяя злоумышленникам похищать данные о сетевом адаптере, доступных сетевых ресурсах, а также дисках и файлах.
Помимо поставщиков медицинского оборудования и фармацевтических компаний, на которые приходится порядка 40% атак, Orangeworm также проявляет интерес к другим отраслям, таким как сфера информационных технологий, промышленный сектор, сельское хозяйство и логистика.
Как полагают исследователи, основным мотивом группировки является промышленный шпионаж. «Orangeworm выбирает свои цели неслучайно и тщательно готовится перед тем, как начать атаку», – подчеркнули эксперты.
Самый высокий процент жертв был обнаружен в США, Саудовской Аравии, Индии, Филиппинах, Венгрии, Великобритании, Турции, Германии, Польше, Гонконге, Швеции, Канаде, Франции и ряде других стран по всему миру.