シマンテックの専門家は、さまざまな国の医療施設を攻撃する悪意のあるソフトウェアを作成したハッカーグループOrangewormの活動に関するレポートを公開しています。 攻撃の目的は、機密情報を盗むことです。
問題は何ですか
研究者によると、攻撃者は少なくとも2015年の初めから活動を続けています。 Orangewormの犠牲者の中には、米国、ヨーロッパ、およびアジアの医療施設があります。 ほとんどの場合、X線装置とMRIスキャナーの動作を制御するコンピューターが攻撃されます。
感染には、Kwampirsトロイの木馬が使用されます。 医療機関のネットワークに侵入した後、マルウェアはシステムに関するデータの収集を開始し、リモートサーバーに転送します。 その後、コンピュータにハッカーにとって興味深い情報が含まれている可能性がある場合、盗まれます。
Kwampirsコマンドセット
ハッカーに必要なもの
Orangewormグループは、ヘルスケア部門の組織だけでなく、IT部門、製造業、さらには物流部門の企業からも注目を集めました。
研究者によると、これは、攻撃者の主な目的が医学に関連する機密データ、たとえば闇市場で転売できるこの分野の開発特許を盗むことであったという事実によるものです。 したがって、そのような製品のエンドユーザーだけでなく、契約ベースでそれらに取り組んでいる企業も攻撃されました。
攻撃が3年間続いた理由
Kwampirsの開発者は深刻なカモフラージュツールを実装しませんでしたが、トロイの木馬は手頃な価格のデバイスに積極的にコピーしました。 オレンジワームグループのこのような長い活動は、ヘルスケアセクターの情報セキュリティのレベルが概して不十分であったために可能になりました。 特に、医療機関は多くの場合、古いハードウェアとソフトウェアを使用しており、ウイルス対策ソフトウェアと更新プログラムをインストールしません。 これはすべて、ハッカーが組織のネットワークに侵入し、長期間そこに足場を築くことは難しくないという事実につながります。
脆弱性および同様の攻撃をタイムリーに検出するために、Positive Technologiesの専門家は、特殊な情報セキュリティツールの使用を推奨しています。 たとえば、医療施設がサイバーセキュリティインシデント管理システム( PT ISIMなど)とセキュリティおよびコンプライアンス監視ツール( MaxPatrolなど )を使用している場合、Orangeworm攻撃を防ぐことができます。