Programišiai ėmėsi naujos veiklos: atakuoja aukšto lygio medicinos aparatūrą JAV, Europoje ir Azijoje (Komandų sąrašas)

Pavadinta „Orangeworm”, buvo nustatyta, kad įsilaužimo grupė įdiegė  šnipinėjantį kodą – „wormable trojan” mašinoms, kuriose naudojama programinė įranga, naudojama kontroliuoti aukštųjų technologijų vaizdavimo įrenginius, tokius kaip rentgeno aparatai ir MRI mašinos, taip pat kompiuteriniai įrenginiai naudojami padėti pacientams užpildyti sutikimo formas.

Pagal „Symantec” paskelbtą naują ataskaitą „Orangeworm” įsilaužimų grupė veikė nuo 2015 m. pradžios ir nukreipta į didžiųjų tarptautinių korporacijų sistemas, įsikūrusias Jungtinėse Amerikos Valstijose, Europoje ir Azijoje, pagrindinį dėmesį skiriant sveikatos priežiūros sektoriui.

„Mes tikime, kad šios pramonės šakos taip pat buvo nukreiptos į didesnę tiekimo grandinės ataką, kad „Orangeworm” galėtų gauti prieigą prie numatomų aukų, susijusių su sveikatos priežiūra”, – sakė „Symantec”.

Įsibrovus į aukos tinklą, užpuolikai įdiegia trojaną, pavadintą „Kwampirs”, kuris atveria „backdoor” pažeistus kompiuterius, leidžiantį užpuolikams nuotoliniu būdu pasiekti įrangą ir pavogti slaptus duomenis.

Dešifravimo metu „Kwampirs” kenkėjiška programa įterpia atsitiktinai sugeneruotą eilutę į pagrindinę DLL naudingąją apkrovą bandydama išvengti aptikimo. Kenkėjiška programinė įranga taip pat prideda pakartotinai įkraunamų paslaugų paketą, kad išliktų ir po naujo paleidimo.

„Kwampirs” tada surenka keletą pagrindinių duomenų apie pažeistus kompiuterius ir siunčia juos į užpuolikų nuotolinius komandų ir valdymo serverius, pagal kuriuos grupė nustato, ar sugadinta sistema naudojama yra tyrinėtojo ar pasiektas tikslas yra didelės vertės.

Komandų sąrašas padedantis užpuolikams pavogti informaciją
Komandų sąrašas padedantis užpuolikams pavogti informaciją

Jei nukentėjusysis tai nepastebi, tada kenkėjiška programa agresyviai plinta per atviras tinklo dalis, kad užkrėstų kitus tos pačios organizacijos kompiuterius.

Norėdami surinkti papildomos informacijos apie aukos tinklą ir pažeistas sistemas, kenkėjiška programa naudoja sistemos integruotas komandas, o ne trečiųjų šalių žvalgybos ir skaičiavimo įrankius.

Aukščiau pateiktas komandų sąrašas padeda užpuolikams pavogti informaciją, įskaitant „bet kokią informaciją, susijusią su neseniai pasiektais kompiuteriais, informacija apie tinklo adapterį, prieinamas tinklo dalis, informaciją apie diskus ir failus, esančius pažeistame kompiuteryje”.

Be sveikatos priežiūros paslaugų teikėjų ir farmacinių kompanijų, kurioms tenka beveik 40% tikslų, „Orangeworm” taip pat pradėjo išpuolius prieš kitas pramonės šakas, įskaitant informacines technologijas ir gamybos sektorius, žemės ūkį ir logistiką.

Tačiau šios pramonės šakos taip pat kažkaip veikia sveikatos priežiūros srityje, pvz., gamintojai, gaminantys medicinos prietaisus, technologijų bendroves, teikiančias paslaugas klinikoms ir logistikos įmones, teikiančJei nuias sveikatos priežiūros produktus.

Nors tikslus Orangeworm motyvas nėra aiškus ir nėra informacijos, galinčios padėti nustatyti grupės kilmę, „Symantec” mano, kad ši grupė greičiausiai vykdys šnipinėjimą komerciniais tikslais, ir nėra jokių įrodymų, kad ją palaiko kokia nors valstybė.

„Remiantis žinomų aukų sąrašu, „Orangeworm” nepasirinko savo tikslų atsitiktinai ar nevykdo oportunistinių įsilaužimų”, – sakė “Symantec”. „Atvirkščiai, grupė, prieš išpuolį atsargiai ir sąmoningai pasirenka savo tikslus”.

Didžiausias aukų procentas buvo aptiktas Jungtinėse Amerikos Valstijose, vėliau Saudo Arabija, Indija, Filipinai, Vengrija, Jungtinė Karalystė, Turkija, Vokietija, Lenkija, Honkongas, Švedija, Kanada, Prancūzija ir kelios kitos šalys visame pasaulyje.

Total
0
Dalinasi
Related Posts