Фахівці Symantec представили аналіз активності хакерської групи Orangeworm. Злочинна група як мінімум з 2015 рік, основний напрямок – інфраструктура медичних установ Азії, Європи і США.
Розслідування показало, що зловмисники атакують ПК, що відповідають за функціонування сканерів МРТ і рентген-апаратів. При цьому використовується троянська програма Kwampirs, що володіє функціоналом класичного хробака.
Зловмисники намагалися викрасти патенти медичних організацій, щоб в подальшому перепродати їх.
Крім медичних організацій група атакувала різні виробництва (15%), сектор IT (15%), бізнес у сфері сільського господарства (8%) і логістичні компанії (8%). При цьому експерти Symantec припустили, що угрупування не відноситься до категорії «урядових хакерів», проте займаються кібершпіонажу на професійному рівні.
Проаналізувавши постраждалі компанії, дослідники зробили висновок, що головна мета злочинців – медична галузь, а ІТ-компанії та логістичні організації компрометируются в рамках масштабної атаки на сайти поставок. Одне з припущень – зловмисники намагалися викрасти патенти медичних організацій, щоб в подальшому перепродати їх.
Шкідлива кампанія залишалася непоміченою багато років, оскільки в сфері охорони здоров’я дуже багато старих ПК.
Після проникнення в систему, утиліта Kwampirs збирає і передає на зовнішній сервер основну інформацію про атакованном пристрої. На скомпрометованому пристрої активувався бекдор, який дозволяв зловмисникам отримати віддалений доступ до особистих даних. Якщо попередній аналіз показував, що в системі можуть зберігатися важливі дані, здійснювалася крадіжка даних. Також робилися активні спроби розіслати шкідливу утиліту на інші пристрої, підключені до локальної мережі.
Дослідники відзначили, що вірус не робив спроби приховати свою присутність в системі, а модулі не оновлювалися з 2015 року. Однак прості елементи маскування все ж були присутні. Kwampirs в інтегрував в файл DLL випадковий набір символів, що дозволяє уникнути виявлення через хеш. В атакованій системі також запускалася власна служба, що дозволяє забезпечити автоматичне завантаження шкідливих модулів при включенні пристрою.
Експерти Symantec припустили, що шкідлива кампанія залишалася непоміченою багато років, оскільки в сфері охорони здоров’я дуже багато старих ПК, які слабо захищені. Більш того, на таких пристроях часто відсутні антивірусні рішення.
Джерело: http://3das.com.ua/
