惡意軟件Kwampirs以醫(yī)療行業(yè)供應(yīng)鏈為目標(biāo)

4月25日訊 安全研究人員們正面臨新的難題：他們無(wú)法解釋黑客究竟為何要利用惡意軟件感染全球各醫(yī)療機(jī)構(gòu)內(nèi)用于控制核磁共振（MRI）與 X 射線機(jī)的計(jì)算機(jī)設(shè)備？這些黑客又是如何做到的？

Orangeworm將矛頭指向全球醫(yī)療衛(wèi)生機(jī)構(gòu)

最新感染狀況全部源自一種名為 Kwampirs 的后門(mén)木馬，研究人員們認(rèn)為這個(gè)木馬與新近出現(xiàn)的 Orangeworm 黑客組織有所關(guān)聯(lián)。

賽門(mén)鐵克2018年4月23日發(fā)布報(bào)告稱(chēng)，追蹤到黑客組織“Orangeworm”針對(duì)歐美和亞洲地區(qū)醫(yī)療保健及相關(guān)行業(yè)發(fā)起針對(duì)性攻擊，安全研究人員們發(fā)現(xiàn)其已經(jīng)感染了世界各地的眾多醫(yī)療組織目標(biāo)。

黑客組織 Orangeworm 2015年1月首次浮出水面。為了攻擊目標(biāo)受害者，該組織通過(guò)供應(yīng)鏈攻擊對(duì)相關(guān)行業(yè)下手。賽門(mén)鐵克發(fā)現(xiàn)，已知的受害者包括醫(yī)療保健提供商、制藥公司、IT 解決方案提供商和為醫(yī)療保健行業(yè)提供服務(wù)的設(shè)備制造商，該組織可能是出于企業(yè)間諜的目的發(fā)動(dòng)攻擊。

精心挑選攻擊目標(biāo)

賽門(mén)鐵克指出，從已知的受害者來(lái)看，Orangeworm 并不是隨機(jī)選擇目標(biāo)或隨意發(fā)起攻擊，相反，該組織在選擇目標(biāo)方面很謹(jǐn)慎，在發(fā)起攻擊之前做了大量規(guī)劃工作。

賽門(mén)鐵克的遙測(cè)數(shù)據(jù)顯示，Orangeworm 的主要攻擊目標(biāo)集中在醫(yī)療保健行業(yè)，經(jīng)證實(shí)的40%的受害企業(yè)屬于醫(yī)療保健行業(yè)，其余目標(biāo)即使不直接參與醫(yī)療衛(wèi)生行業(yè)，亦與該行業(yè)存在著千絲萬(wàn)縷的聯(lián)系，Orangeworm 曾經(jīng)感染多家物流、農(nóng)業(yè)、制造以及 IT 服務(wù)企業(yè)的網(wǎng)絡(luò)，而其中絕大多數(shù)公司負(fù)責(zé)為醫(yī)療衛(wèi)生機(jī)構(gòu)提供服務(wù)。

受該黑客組織影響的國(guó)家及行業(yè)（可點(diǎn)擊圖片放大查看）

被攻擊的企業(yè)及機(jī)構(gòu)分布在全球數(shù)十個(gè)國(guó)家，包括沙特阿拉伯、印度、菲律賓、匈牙利、英國(guó)、土耳其、德國(guó)、波蘭、中國(guó)、瑞典、加拿大、法國(guó)等，其中美國(guó)（17％）為重災(zāi)區(qū)。

研究人員們認(rèn)為，攻擊者們希望通過(guò)感染服務(wù)供應(yīng)商以實(shí)施供應(yīng)鏈攻擊，進(jìn)而滲透目標(biāo)醫(yī)療衛(wèi)生機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)。

Orangeworm并非民族國(guó)家支持型APT

調(diào)查人員們表示， Orangeworm 無(wú)疑屬于高級(jí)持續(xù)威脅（APT）組織，但其背后似乎并無(wú)民族國(guó)家提供支持。該組織可能希望從醫(yī)療機(jī)構(gòu)處竊取患者信息并在黑市上出售，畢竟存儲(chǔ)在醫(yī)療機(jī)構(gòu)中的患者信息在完整性方面要遠(yuǎn)超金融機(jī)構(gòu)或任何其它企業(yè)所能掌握的用戶(hù)資料。

一直使用同一個(gè)惡意軟件：Kwampirs

研究人員表示，這批攻擊者非常大膽，不但使用過(guò)時(shí)的橫向移動(dòng)方法，而且絲毫不擔(dān)心自己的行蹤被發(fā)現(xiàn)。Orangeworm 自首次攻擊以來(lái)從未對(duì)該惡意軟件進(jìn)行過(guò)更新，盡管如此，研究人員們?nèi)匀换苏陼r(shí)間才確定并披露該組織的攻擊事件。

Orangeworm 黑客組織總是以同樣的方式實(shí)施攻擊：他們首先感染一臺(tái)計(jì)算機(jī)，而后借此進(jìn)行 Kwampirs 惡意軟件傳播，最終達(dá)到遠(yuǎn)程訪問(wèn)每一臺(tái)受感染設(shè)備的目的。

攻擊者們以無(wú)差別方式將 Kwampirs 傳播至盡可能多的系統(tǒng)當(dāng)中，這也解釋了為什么控制醫(yī)療設(shè)備的計(jì)算機(jī)也同樣受到感染，例如核磁共振機(jī)與X射線機(jī)。研究人員們認(rèn)為，該小組會(huì)利用 Kwampirs 搜索其感興趣的數(shù)據(jù)。

盯上老舊設(shè)備

調(diào)查人員們認(rèn)為，Orangeworm 黑客組織的攻擊對(duì)象主要為大多數(shù)醫(yī)療衛(wèi)生機(jī)構(gòu)中使用的陳舊計(jì)算機(jī)，其中大部分很少更新、通常未使用反病毒軟件，因此極易遭遇黑客入侵。