黑客組織Orangeworm通過入侵X射線和核磁共振設備竊取患者數據

全球網路安全領導者賽門鐵克（Symantec）在本周一發布的一份報告中稱，他們的安全團隊發現了一個新的黑客組織，該組織正在全球範圍內針對醫療機構和相關組織開展企業間諜活動。

被稱為「Orangeworm」的黑客組織被發現在受感染設備上安裝了一種極具攻擊性的木馬病毒，用於控制託管高科技成像系統的設備，如X射線和核磁共振（MRI）成像設備。另外，這種木馬病毒也出現在用於協助病患填寫同意書的設備上。

報告稱，該組織自2015年1月以來就一直保持活躍，它被證實曾對位於美國、歐洲和亞洲的多家大型國際公司發動過攻擊，而這些公司主要都屬於醫療保健行業。

賽門鐵克表示：「我們認為，Orangeworm還針對相關行業的組織進行了有針對性的攻擊，作為更大的供應鏈攻擊的一部分，以便接觸其預期的受害者。已知的受害者包括醫療服務提供商、製藥公司、醫療保健IT解決方案提供商和服務於醫療行業的設備製造商。」

在進入受害者網路後，攻擊者安裝一個名為「Kwampirs」的木馬病毒。該木馬會在受感染設備上打開一個用於後續攻擊的後門，允許攻擊者遠程訪問設備並竊取敏感數據。

在解密時，Kwampirs木馬會將一個隨機生成的字元串插入到主DLL有效載荷中，以逃避基於哈希的檢測。該木馬還會通過啟動一項服務來建立持久性，使得自身能夠在受感染設備重新啟動後自動執行。

然後，Kwampirs會收集一些關於受感染設備的基本信息，並將其發送給由攻擊者控制的遠程命令和控制（C&C）伺服器，攻擊者會以此來確定受感染設備是否有發起進一步攻擊的價值。

如果攻擊者對受感染設備表示「很感興趣」，那麼他們還會通過C&C伺服器向Kwampirs發送命令，指示它通過開放的網路共享感染同一組織內的其他設備。

為了儘可能多地收集有關受害者網路的其他信息，Kwampirs會使用系統的內置命令，而不是使用第三方偵察和枚舉工具。通過這些命令，它能夠竊取的信息包括與最近訪問的設備有關的信息、網路適配器信息、可用的網路共享、映射驅動器以及受感染設備上的文件。

正如前面提到的那樣，Orangeworm的主要攻擊目標集中在醫療保健行業，這些受害者佔了約39%。其他遭攻擊的行業或多或少都與醫療保健行業存在關聯，如製造醫療設備的製造商，為診所提供服務的技術公司以及提供醫療保健產品運輸服務的物流公司。具體包括 IT 行業（15%）、製造業（15%）、物流行業（8%）和農業（8%）。

Orangeworm的受害者組織大都位於美國，約佔17％。根據賽門鐵克的遙測數據，其他受害者還包括位於沙烏地阿拉伯、印度、菲律賓、匈牙利、英國、土耳其、德國、波蘭、中國香港、瑞典、加拿大、法國等國家和地區的組織。

值得注意的是，根據已知的受害者組織名單，Orangeworm不會隨機選擇目標或進行機會性黑客攻擊。相反，該組織在選擇攻擊目標方面表現為「十分謹慎」，只會有針對性地發動攻擊，並且在發動攻擊之前會開展大量計劃工作。

Orangeworm的這種運作模式讓它看起來很符合APT（Advanced Persistent Threat，高級持續性威脅）組織的特點，但其使用的戰術、技術和程序透露出它似乎並不是一個得到了某個國家支持的APT組織。

比如，Orangeworm所使用的Kwampirs木馬在網路上傳播的方式並不具備隱匿性，很容易被研究人員發現，並且至始至終攻擊者都沒有對這個木馬進行改進。另外，Kwampirs木馬的自我複製技術也很老舊，主要針對的是 Windows XP系統。不過這對於醫療保健行業來說是有效的，因為該行業的大量設備運行在Windows XP上，並且很多遺留系統也只能在Windows XP環境中運行。

雖然Orangeworm的確切動機尚不清楚，也沒有任何信息可以幫助研究人員確定該組織的來源，但賽門鐵克認為該組織可能是為了商業目的（如竊取數據進行出售）而開展間諜活動。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！