Исследователи безопасности из компании Symantec обнаружили новую хакерскую группировку, получившую название Orangeworm.
Группировка инфицирует компьютеры, использующие программное обеспечение для управления высокотехнологичными устройствами обработки изображений, такими как рентгеновские и МРТ-аппараты, а также устройства, предназначенные для оказания помощи пациентам в заполнении форм согласия. По словам исследователей, Orangeworm осуществляет активную деятельность с начала 2015 года, атакуя системы крупных международных корпораций из США, Европы и Азии, работающих в сфере здравоохранения.
«Мы считаем, что активность хакеров в данной отрасли является частью более масштабной атаки на цепочку поставок, чтобы получить доступ к целям, связанным со здравоохранением,», – отметили специалисты.
После проникновения в сеть жертвы злоумышленники устанавливают троян, получивший название Kwampirs, который создает на взломанных компьютерах бэкдор, позволяя злоумышленникам получить удаленный доступ к оборудованию и похитить конфиденциальные данные.
Помимо этого, Kwampirs вставляет случайным образом сгенерированную строку в свою основную DLL-библиотеку, пытаясь избежать обнаружения на основе хэшей. Вредоносная программа также запускает на скомпрометированных системах специальную службу для сохранения и перезапуска после перезагрузки устройства.
Вредонос способен собирать базовую информацию о взломанных компьютерах и отправлять ее злоумышленникам на удаленный С&C-сервер. Таким образом хакеры определяют, кем и с какой целью используется взломанная система. Если жертва представляет для злоумышленников интерес, вредоносное ПО стремительно распространяется по открытым сетевым ресурсам, заражая другие компьютеры организации.
Для сбора дополнительной информации о сети жертвы и скомпрометированных устройствах, Kwampirs использует встроенные команды системы, позволяя злоумышленникам похищать данные о сетевом адаптере, доступных сетевых ресурсах, а также дисках и файлах.
Помимо поставщиков медицинского оборудования и фармацевтических компаний, на которые приходится порядка 40% атак, Orangeworm также проявляет интерес к другим отраслям, таким как сфера информационных технологий, промышленный сектор, сельское хозяйство и логистика.
Как полагают исследователи, основным мотивом группировки является промышленный шпионаж. «Orangeworm выбирает свои цели неслучайно и тщательно готовится перед тем, как начать атаку», – подчеркнули эксперты.
Самый высокий процент жертв был обнаружен в США, Саудовской Аравии, Индии, Филиппинах, Венгрии, Великобритании, Турции, Германии, Польше, Гонконге, Швеции, Канаде, Франции и ряде других стран по всему миру.