Symantec: хакери заражають медичне обладнання по всьому світу за допомогою трояна Kwampirs
Експерти компанії Symantec опублікували звіт про активність хакерського угруповання Orangeworm, яке створило шкідливий софт, який атакує медичні установи в різних країнах. Мета атак - крадіжка конфіденційної інформації.
За даними дослідників, зловмисники діють як мінімум із початку 2015 року. Серед жертв Orangeworm медичні установи у США, Європі та Азії. Найчастіше атакам піддаються комп'ютери, що керують роботою рентген-апаратів та МРТ-сканерів.
Для зараження використовується троян Kwampirs. Після проникнення в мережу медустанови зловред починає збирати дані про систему і передає їх на віддалений сервер. Після цього, якщо на комп'ютері є потенційно цікава хакерам інформація, вона викрадається.
Угруповання Orangeworm атакувало не тільки організації зі сфери охорони здоров'я, їхню увагу також привернули і компанії з ІТ-сектору, виробництва та навіть сфери логістики.
На думку дослідників, це пояснюється тим фактом, що головною метою зловмисників було розкрадання конфіденційних даних, пов'язаних із медициною — наприклад, патентів на розробки у цій сфері, які можна перепродати на чорному ринку. Тому атаковані були як кінцеві користувачі таких продуктів, а й компанії, які працювали з них на контрактної основі.
Розробники Kwampirs не реалізували серйозних засобів маскування, при цьому троян активно копіював сам себе на доступні пристрої. Така тривала активність угруповання Orangeworm стала можлива через загальний незадовільний рівень інформаційної безпеки у сфері охорони здоров'я. Зокрема, медустанови часто використовують застаріле залізо та софт, не встановлюють антивіруси та оновлення. Все це призводить до тому, що для хакерів не важко проникнути в мережу організації і закріпитися там на довгий час. Для своєчасного виявлення вразливостей і подібних атак, експерти Positive Technologies рекомендують використовувати спеціалізовані інструменти інформаційної безпеки. Наприклад, запобігти атакі Orangeworm можна було б, якби медичні установи використовували системи управління інцидентами кібербезпеки (наприклад, PT ISIM) та інструменти контролю захищеності та відповідності стандартам (наприклад, MaxPatrol).
