4月25日訊 安全研究人員們正面臨新的難題:他們無法解釋黑客究竟為何要利用惡意軟件感染全球各醫(yī)療機(jī)構(gòu)內(nèi)用于控制核磁共振(MRI)與 X 射線機(jī)的計(jì)算機(jī)設(shè)備?這些黑客又是如何做到的?
Orangeworm將矛頭指向全球醫(yī)療衛(wèi)生機(jī)構(gòu)
最新感染狀況全部源自一種名為 Kwampirs 的后門木馬,研究人員們認(rèn)為這個(gè)木馬與新近出現(xiàn)的 Orangeworm 黑客組織有所關(guān)聯(lián)。
賽門鐵克2018年4月23日發(fā)布報(bào)告稱,追蹤到黑客組織“Orangeworm”針對歐美和亞洲地區(qū)醫(yī)療保健及相關(guān)行業(yè)發(fā)起針對性攻擊,安全研究人員們發(fā)現(xiàn)其已經(jīng)感染了世界各地的眾多醫(yī)療組織目標(biāo)。
黑客組織 Orangeworm 2015年1月首次浮出水面。為了攻擊目標(biāo)受害者,該組織通過供應(yīng)鏈攻擊對相關(guān)行業(yè)下手。賽門鐵克發(fā)現(xiàn),已知的受害者包括醫(yī)療保健提供商、制藥公司、IT 解決方案提供商和為醫(yī)療保健行業(yè)提供服務(wù)的設(shè)備制造商,該組織可能是出于企業(yè)間諜的目的發(fā)動攻擊。
精心挑選攻擊目標(biāo)
賽門鐵克指出,從已知的受害者來看,Orangeworm 并不是隨機(jī)選擇目標(biāo)或隨意發(fā)起攻擊,相反,該組織在選擇目標(biāo)方面很謹(jǐn)慎,在發(fā)起攻擊之前做了大量規(guī)劃工作。
賽門鐵克的遙測數(shù)據(jù)顯示,Orangeworm 的主要攻擊目標(biāo)集中在醫(yī)療保健行業(yè),經(jīng)證實(shí)的40%的受害企業(yè)屬于醫(yī)療保健行業(yè),其余目標(biāo)即使不直接參與醫(yī)療衛(wèi)生行業(yè),亦與該行業(yè)存在著千絲萬縷的聯(lián)系,Orangeworm 曾經(jīng)感染多家物流、農(nóng)業(yè)、制造以及 IT 服務(wù)企業(yè)的網(wǎng)絡(luò),而其中絕大多數(shù)公司負(fù)責(zé)為醫(yī)療衛(wèi)生機(jī)構(gòu)提供服務(wù)。
受該黑客組織影響的國家及行業(yè)(可點(diǎn)擊圖片放大查看)
被攻擊的企業(yè)及機(jī)構(gòu)分布在全球數(shù)十個(gè)國家,包括沙特阿拉伯、印度、菲律賓、匈牙利、英國、土耳其、德國、波蘭、中國、瑞典、加拿大、法國等,其中美國(17%)為重災(zāi)區(qū)。
研究人員們認(rèn)為,攻擊者們希望通過感染服務(wù)供應(yīng)商以實(shí)施供應(yīng)鏈攻擊,進(jìn)而滲透目標(biāo)醫(yī)療衛(wèi)生機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)。
Orangeworm并非民族國家支持型APT
調(diào)查人員們表示, Orangeworm 無疑屬于高級持續(xù)威脅(APT)組織,但其背后似乎并無民族國家提供支持。該組織可能希望從醫(yī)療機(jī)構(gòu)處竊取患者信息并在黑市上出售,畢竟存儲在醫(yī)療機(jī)構(gòu)中的患者信息在完整性方面要遠(yuǎn)超金融機(jī)構(gòu)或任何其它企業(yè)所能掌握的用戶資料。
一直使用同一個(gè)惡意軟件:Kwampirs
研究人員表示,這批攻擊者非常大膽,不但使用過時(shí)的橫向移動方法,而且絲毫不擔(dān)心自己的行蹤被發(fā)現(xiàn)。Orangeworm 自首次攻擊以來從未對該惡意軟件進(jìn)行過更新,盡管如此,研究人員們?nèi)匀换苏陼r(shí)間才確定并披露該組織的攻擊事件。
Orangeworm 黑客組織總是以同樣的方式實(shí)施攻擊:他們首先感染一臺計(jì)算機(jī),而后借此進(jìn)行 Kwampirs 惡意軟件傳播,最終達(dá)到遠(yuǎn)程訪問每一臺受感染設(shè)備的目的。
攻擊者們以無差別方式將 Kwampirs 傳播至盡可能多的系統(tǒng)當(dāng)中,這也解釋了為什么控制醫(yī)療設(shè)備的計(jì)算機(jī)也同樣受到感染,例如核磁共振機(jī)與X射線機(jī)。研究人員們認(rèn)為,該小組會利用 Kwampirs 搜索其感興趣的數(shù)據(jù)。
盯上老舊設(shè)備
調(diào)查人員們認(rèn)為,Orangeworm 黑客組織的攻擊對象主要為大多數(shù)醫(yī)療衛(wèi)生機(jī)構(gòu)中使用的陳舊計(jì)算機(jī),其中大部分很少更新、通常未使用反病毒軟件,因此極易遭遇黑客入侵。
-
軟件
+關(guān)注
關(guān)注
69文章
4929瀏覽量
87414 -
醫(yī)療
+關(guān)注
關(guān)注
8文章
1822瀏覽量
58739
原文標(biāo)題:“一個(gè)”惡意軟件干翻全球醫(yī)療組織的故事
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論