Hackers Derrière Espionnage Healthcare Infection Infect X-Ray et IRM

Les chercheurs en sécurité ont découvert un nouveau groupe de piratage qui cible agressivement les organisations de soins de santé et les secteurs connexes à travers le monde pour mener des activités d’espionnage.

Surnommé « Orangeworm », le groupe de piratage a installé un cheval de Troie vermifuge sur des machines hébergeant des logiciels utilisés pour contrôler des appareils d’imagerie de pointe tels que des appareils de radiographie et d’IRM, ainsi que des machines pour aider les patients à remplir leurs formulaires de consentement.

Selon un nouveau rapport publié lundi par Symantec, le groupe de piratage Orangeworm est actif depuis début 2015 et cible des systèmes de grandes sociétés internationales basées aux Etats-Unis, en Europe et en Asie, principalement dans le secteur de la santé.
"Nous pensons que ces industries ont également été ciblées dans le cadre d’une attaque plus importante de la chaîne d’approvisionnement afin que Orangeworm puisse avoir accès aux victimes prévues en matière de soins de santé", a déclaré Symantec.
Après avoir pénétré dans le réseau de la victime, les attaquants installent un cheval de Troie, appelé Kwampirs , qui ouvre une porte dérobée sur les ordinateurs compromis, permettant aux attaquants d’accéder à distance à l’équipement et de voler des données sensibles.
Lors du décryptage, le programme malveillant Kwampirs insère une chaîne générée aléatoirement dans sa charge utile principale de DLL dans le but d’échapper à la détection par hachage. Le logiciel malveillant démarre également un service sur les systèmes compromis pour qu’ils persistent et redémarrent après le redémarrage du système.
Kwampirs collecte ensuite des informations de base sur les ordinateurs compromis et les envoie aux attaquants sur un serveur de commande et de contrôle distant, à l’aide duquel le groupe détermine si le système piraté est utilisé par un chercheur ou une cible de grande valeur.


Si la victime présente un intérêt, le logiciel malveillant s’est ensuite "agressivement" propagé sur les partages réseau ouverts pour infecter d’autres ordinateurs de la même organisation.
Pour recueillir des informations supplémentaires sur le réseau de la victime et les systèmes compromis, le logiciel malveillant utilise les commandes intégrées du système, au lieu d’utiliser des outils de reconnaissance et d’énumération tiers.
La liste ci-dessus de commandes aide les pirates à voler des informations, y compris "toute information concernant les ordinateurs récemment accédés, les informations de carte réseau, les partages réseau disponibles, les lecteurs mappés et les fichiers présents sur l’ordinateur compromis".
Outre les fournisseurs de soins de santé et les sociétés pharmaceutiques qui représentent près de 40% des cibles, Orangeworm a également lancé des attaques contre d’autres industries, notamment les secteurs des technologies de l’information et de la fabrication, l’agriculture et la logistique.
Cependant, ces industries travaillent également pour les soins de santé, comme les fabricants de dispositifs médicaux, les entreprises de technologie qui offrent des services aux cliniques et les entreprises de logistique qui fournissent des produits de soins de santé.

Bien que le motif exact d’Orangeworm ne soit pas clair et qu’aucune information ne puisse aider à déterminer les origines du groupe, Symantec pense que le groupe mène probablement des activités d’espionnage à des fins commerciales et qu’il n’y a aucune preuve qu’il soit soutenu par un État-nation.
"Sur la base de la liste des victimes connues, Orangeworm ne sélectionne pas ses cibles de manière aléatoire ou ne pratique pas le piratage opportuniste", a déclaré Symantec. "Au contraire, le groupe semble choisir ses cibles soigneusement et délibérément, en menant une bonne planification avant de lancer une attaque."
Le pourcentage le plus élevé de victimes a été détecté aux États-Unis, suivi par l’Arabie saoudite, l’Inde, les Philippines, la Hongrie, le Royaume-Uni, la Turquie, l’Allemagne, la Pologne, Hong Kong, la Suède, le Canada et plusieurs autres pays.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image