Хакерская группировка Orangeworm атаковала сектор здравоохранения

Недавний отчет группы Symantec по расследованию атак Security Response сосредоточился на коллективе хакеров, преследующем отрасль здравоохранения. Выяснилось, что название группы — Orangeworm, и они несут ответственность за взлом различных целей, связанных со здравоохранением, в США, Европе и Азии. Группа была ранее не идентифицирована, когда они впервые появились на радарах исследователей в 2015 году, но теперь их методология и личность хорошо задокументированы.

Symantec отметила следующее о целях Orangeworm:

Основываясь на списке известных жертв, Orangeworm не выбирает свои цели случайным образом и не занимается случайным взломом. Скорее, группа, похоже, тщательно и обдуманно выбирает свои цели, проводя тщательное планирование перед началом атаки.

Основным методом атаки для Orangeworm является установка бэкдора через Trojan.Kwampirs. Kwampirs был обнаружен в программном обеспечении для рентгеновских и магнитно-резонансных томографов, в системах, подключенных к сетям с высококонфиденциальными данными, и во всем остальном, что отдаленно связано с влиятельными корпорациями здравоохранения.

После установки бэкдора и подтверждения того, что цель представляет интерес, первое, что делает Kwampirs (после расшифровки и извлечения полезной нагрузки DLL), — это «агрессивно копирует бэкдор через открытые сетевые ресурсы, чтобы заразить другие компьютеры».

Symantec отмечает, что следующие скрытые файловые ресурсы обычно используются бэкдором для проникновения в сеть:

• АДМИН$
• C$WINDOWS
• D$WINDOWS
• E$WINDOWS

Основной целью всего этого является агрессивная форма разведки, которая, как считается, может быть связана с корпоративным шпионажем. Объем внутренних данных, восстановленных в результате этих атак, может оказаться очень полезным, поскольку они охватывают не только данные компании, но и данные любого делового партнера, с которым компания может иметь дело.

Symantec отмечает, что хакеры Orangeworm не особенно заботятся о скрытности. Атаки, которые они осуществляют, — это то, что мы в области безопасности называем «громкими», и они склонны активировать любой режим оповещения, на который реагируют ИТ-отделы (например, их IDS или IPS). Основная причина, по которой такой безрассудный подход работает, заключается в том, что многие лидеры отрасли здравоохранения по-прежнему используют Windows XP, которую гораздо легче взломать и использовать из-за примитивных средств защиты.

Этот последний пункт настолько важен, что специалисты по кибербезопасности предупреждали об опасностях использования устаревших вариантов ОС, таких как XP, в течение многих лет. Я был одним из таких людей, и я постоянно предупреждал, что проблемы достигнут критической массы, и как только они это сделали с WannaCry, я подумал, что могут быть изменения. Очевидно, что этого изменения было недостаточно, поскольку Orangeworm доказывает, что XP по-прежнему широко используется в столь чувствительной отрасли.

Руководители здравоохранения: обновите свою ОС или продолжайте страдать от последствий своего бездействия.