Orangeworm шпионит за отраслью здравоохранения
В поле зрения экспертов попала новая кампания преступной группировки Orangeworm, промышляющей внедрением бэкдора собственной разработки в среды крупных компаний, преимущественно из отрасли здравоохранения. Специализация злоумышленников — целенаправленный комплексный корпоративный шпионаж. Группировка использует «шумный» вектор атаки и вряд ли связана с государственными образованиями.
Впервые Orangeworm появилась на радарах еще в 2015 году, когда эксперты выловили необычный исполняемый файл. Расследование показало, что речь идет об уникальном бэкдоре с функциями удаленного доступа и загрузки вредоносных компонентов.
В этом году, после периода довольно низкой активности, Orangeworm объявилась снова, на сей раз запустив длительную и мощную кампанию, которая так или иначе затронула уже более 100 организаций.
Исследователям удалось засечь установленный группировкой бэкдор в крупных международных организациях здравоохранения США, Европы и Азии. Больше всего жертв (17%) оказалось именно в США.
Бэкдор, получивший название Kwampirs, прячется в медицинском оборудовании — рентгеновских установках и аппаратах магнитной томографии, а также сетевых папках и серверах. Помимо этого, зловред размещается на платформах, которые помогают клиентам дать согласие на проведение необходимых медицинских процедур.
Что интересно, Kwampirs активно распространяется и в средах компаний, связанных с главными мишенями цепочкой поставок, включая фармацевтические фирмы, разработчиков специализированных ИТ-решений и производителей медицинского оборудования. Он не брезгует даже нишевыми организациями, например компанией, которая делает этикетки для бутылочек с рецептурными препаратами.
Атакующие забрасывают сети широко, затем тщательно анализируют улов и выбирают наиболее выгодную мишень, не полагаясь на удачу или интуицию. После этого они «тратят огромное количество времени, изучая все ходы и выходы в системе жертвы, включая ее директории, основные центры подключения и сетевые папки, — говорит Джон Димаджио (Jon DiMaggio), ведущий исследователь угроз в Symantec. — Гипотетически, если у злоумышленников есть исходный код или пиратские технологии, это объяснило бы, зачем им так скрупулезно собирать данные».
Kwampirs распространяется аналогично червю, причем его поведение легко обнаруживается защитными системами. Зловред копирует себя на незащищенные сетевые папки в старых сетях на основе Windows, которые очень распространены в отрасли здравоохранения.
Медицинские учреждения часто используют устаревшие платформы, например Windows XP. По словам Димаджио, даже новое отраслевое ПО часто пишут именно для этой операционной системы, потому что она повсеместно распространена и очень проста в обращении.
Угроза Kwampirs привлекла внимание к слабым звеньям в защите отрасли здравоохранения:
- устаревшим ОС, таким как Windows XP с завершившимся циклом поддержки;
- медицинским устройствам, на которых не устанавливаются патчи;
- отсутствию прозрачности в инфраструктуре и контроля над медицинскими рабочими станциями, серверами и сетями в целом.
Более того, согласно недавнему опросу Deloitte & Touchel, именно выявление и сведение к минимуму рисков для выпускаемых в продажу и устаревших подключенных устройств представляет из себя главную задачу отрасли здравоохранения с точки зрения кибербезопасности (так считает 30% респондентов).
«Устаревшие операционные системы всегда будут одной большой дырой для хорошо спроектированных вирусов, таких как детище Orangeworm, — написал в электронном письме Род Шульц (Rod Schultz), руководитель отдела продуктов в компании Rubicon Labs. — В них содержится немало хорошо известных, часто даже задокументированных уязвимостей, которые и эксплуатируются вирусами. По тому, какие отраслевые вертикали атакуют в первую очередь, хорошо видно, кто именно использует ненадежные технологии. Пока на морально устаревших устройствах хранится хоть что-нибудь ценное, древние операционные системы, подключенные к современным средам, будут подвергаться атакам такого рода».
Пока что агрессивно распространяющийся бэкдор только извлекает данные, однако существуют опасения, что он может начать загружать другой вредоносный контент