Sağlık Hizmetleri Casusluk: Behind X-Ray ve MRI Makineleri

Güvenlik araştırmacıları, kurumsal casusluk yapmak için tüm dünyadaki sağlık kuruluşlarını ve ilgili sektörleri agresif bir şekilde hedef alan yeni bir bilgisayar grubu ortaya çıkardılar.

” Orangeworm ” adlı bilgisayar korsanlığı grubu, X-Ray ve MRI makineleri gibi yüksek teknolojili görüntüleme cihazlarını kontrol etmek için kullanılan yazılımların yanı sıra rıza formlarını doldurmada hastalara yardımcı olmak için kullanılan makinelere ev sahipliği yapan bir trojan kuruyor.

Symantec’in Pazartesi günü yayınladığı yeni bir rapora göre , Orangeworm bilgisayar korsanlığı grubu, 2015 başından bu yana aktif olarak faaliyet gösteriyor ve ABD, Avrupa ve Asya’da temel sağlık hizmetleri sektörüne odaklanan büyük uluslararası şirketlerin sistemlerini hedefliyor.

Symantec, “Bu endüstrilerin Orangeworm’un sağlık hizmetleriyle ilgili kurbanlarına erişebilmeleri için daha büyük bir tedarik zinciri saldırısının bir parçası olarak hedeflendiğine inanıyoruz.” dedi.

Mağdurun ağına girdikten sonra, saldırganlar , tehlikeye atılan bilgisayarlarda bir arka kapı açan Kwampirs olarak adlandırılan bir trojan kurarak saldırganların ekipmana uzaktan erişmelerine ve hassas verileri çalmalarına izin verdi.

Şifresini çözerken, Kwampirs kötü amaçlı yazılım, rastgele oluşturulmuş bir dizeyi, karma tabanlı saptamayı önlemek için ana DLL yüküne ekler. Kötü amaçlı yazılım ayrıca, sistem yeniden başlatıldıktan sonra da sistemde bulunan sistemlerin ısrar etmesi ve yeniden başlatılması için bir hizmet başlatır.

Kwampirs, daha sonra ele geçirilen bilgisayarlarla ilgili bazı temel bilgileri toplar ve saldırganlara, saldırgan sistemin bir araştırmacı veya yüksek değerli bir hedef tarafından kullanılıp kullanılmadığını belirleyen bir uzaktan kumanda ve kontrol sunucusuna gönderir.

healthcare-malware-cyberattack

healthcare-malware-cyberattack-1

Mağdur ilgilenirse, kötü amaçlı yazılım daha sonra “agresif” olarak, aynı kuruluş içindeki diğer bilgisayarlara bulaşmak için açık ağ paylaşımlarına yayılır.

Mağdurun ağı ve güvenliği ihlal edilmiş sistemler hakkında ek bilgi toplamak için, kötü amaçlı yazılım üçüncü taraf keşif ve numaralandırma araçları kullanmak yerine sistemin yerleşik komutlarını kullanır.

Gösterilen komutların listesi, saldırganların “son erişilen bilgisayarlara, ağ bağdaştırıcısı bilgilerine, kullanılabilir ağ paylaşımlarına, eşlenen sürücülere ve güvenliği bozulmuş bilgisayarda bulunan dosyalara ilişkin bilgiler” dahil olmak üzere bilgi çalmalarına yardımcı olur.

Hedeflerin yaklaşık% 40’ını oluşturan sağlık hizmeti sağlayıcıları ve ilaç şirketlerinin yanı sıra, Orangeworm aynı zamanda bilgi teknolojileri ve üretim sektörleri, tarım ve lojistik gibi diğer sektörlere de saldırı başlattı.

Bununla birlikte, bu endüstriler sağlık hizmetlerinde de çalışmaktadır; tıp aletleri üreten imalatçılar, kliniklere hizmet sunan teknoloji şirketleri ve sağlık hizmeti sunan lojistik firmaları gibi.

orangeworm-hacking-group

Orangeworm’un tam anlamı açık değildir ve grubun kökenini belirlemeye yardımcı olabilecek hiçbir bilgi olmamasına rağmen, Symantec grubun ticari amaçlar için casusluk yapması gerektiğine ve bunun bir ulus devlet tarafından desteklendiğine dair bir kanıt bulunmadığına inanmaktadır.

Symantec, “Bilinen kurbanların listesine dayanarak, Orangeworm hedeflerini rastgele seçmez veya fırsatçı saldırıyı yürütmez.” Dedi. “Daha ziyade, grup hedeflerini dikkatle ve kasıtlı olarak seçiyor ve bir saldırı başlatmadan önce iyi bir planlama planını yapıyor.”

En yüksek kurban oranı Amerika Birleşik Devletleri’nde tespit edilmiştir. Bunu Suudi Arabistan, Hindistan, Filipinler, Macaristan, Birleşik Krallık, Türkiye, Almanya, Polonya, Hong Kong, İsveç, Kanada, Fransa ve dünyanın birçok ülkesinde takip etmektedir.