Un ver mystérieux cible les machines à rayons X et les scanners IRM

Un groupe cybercriminel nouvellement mis à jour installe des logiciels malveillants sur les systèmes des organisations dans les secteurs de la santé afin de mener des activités d’espionnage.

 

Ces attaques ciblées sont menées contre un petit nombre d’organisations choisies ainsi que les chaînes d’approvisionnement qui les servent. La tactique et l’utilisation de logiciels malveillants personnalisés suggèrent que ces attaques sont le travail d’un groupe de cybercriminel travaillant pour son propre compte.

Découvert par des chercheurs de Symantec, ce groupe inconnu jusqu’alors, nommé Orangeworm, installe un logiciel malveillant appelé « Kwampirs » sur les systèmes de grandes entreprises internationales aux États-Unis, en Europe et en Asie – avec un focus particulier sur le secteur de la santé : 40 % des victimes sont dans ce secteur. Parmi les autres cibles importantes figurent les secteurs de la technologie et de la fabrication. Le groupe serait actif depuis fin 2015.

Apprentissage du fonctionnement des outils

Les victimes connues à ce jour incluent des fournisseurs d’équipements de santé, des fabricants de produits pharmaceutiques, et certains de leurs prestataires. Compte tenu de la nature des victimes, les chercheurs estiment que le groupe choisit ses cibles soigneusement et délibérément, en travaillant particulièrement sa planification avant de lancer une attaque.

« Le ciblage de grandes sociétés multinationales qui travaillent directement dans le secteur de la santé est une constante chez Orangeworm depuis leur découverte » a déclaré à ZDNet Alan Neville, chercheur sur les menaces chez Symantec.

Dans le secteur de la santé, le logiciel malveillant Kwampirs a été trouvé sur une grande variété de systèmes, y compris des appareils de radiographie et d’IRM, ainsi que des machines utilisées pour aider les patients à remplir des formulaires pour des documents de consentement dans le cas d’examens et d’opérations médicales.

Cependant, plutôt que de voler des informations stockées sur ces systèmes, les chercheurs pensent que les pirates sont surtout intéressés par l’apprentissage du fonctionnement de ces dispositifs. « Nous n’avons aucune preuve suggérant que les attaquants ont copié des images, il est plus probable que le groupe soit intéressé à apprendre comment ces appareils fonctionnent » a déclaré Alan Neville.

Une certaine légèreté

En ce qui concerne l’activité sur le réseau, le logiciel malveillant semble spécialement conçu pour effectuer une reconnaissance – bien qu’il ait le potentiel d’effectuer des tâches supplémentaires si nécessaire. « Nous avons observé que le groupe effectue des activités de reconnaissance et de collecte d’informations, y compris la collecte de listes de tous les fichiers sur le disque dur de la machine infectée » a déclaré Alan Neville.

« Bien que nous n’ayons pas remarqué que les attaquants recherchent ou volent des informations spécifiques, nous notons qu’ils ont la possibilité de pousser des modules supplémentaires qui pourraient aider aux activités de collecte d’informations ».

Une fois que le malware a infiltré le réseau cible, Kwampirs fournit aux attaquants un accès à distance à l’ordinateur compromis, la porte dérobée collectant d’abord des informations rudimentaires sur la machine infectée, telles que les informations de la carte réseau et les paramètres de langue. Il s’assure également qu’il n’est pas détecté par un logiciel antivirus ou de sécurité en insérant une chaîne générée de manière aléatoire au milieu de la charge utile décryptée avant de l’écrire sur le disque et ce pour empêcher les détections basées sur le hachage. « Fondamentalement, Kwampirs peut être considéré comme un ver polymorphe » mentionne Alan Neville.

Les chercheurs suggèrent que Orangeworm utilise cette information pour décider si le système est utilisé par une cible de grande valeur, ayant accès à beaucoup d’informations. Si les attaquants déterminent que c’est le cas, ils propagent également l’infection en copiant la porte dérobée sur les partages réseau ouverts pour infecter d’autres ordinateurs.

Cette méthode de propagation de copie par partage de réseau ouvert est une technique ancienne, mais reste un moyen de distribution viable pour se répandre dans les environnements utilisant des systèmes d’exploitation hérités comme Windows XP – qui reste utilisé dans le secteur de la santé en raison de la nature spécifique des équipements. Contrairement à EternalBlue, cette méthode de propagation ne nécessite pas l’utilisation d’exploits.

De plus, le logiciel malveillant utilise une méthode de propagation assez « bruyantes », indiquant que les attaquants ne sont pas très préoccupés par sa découverte. « En se copiant sans discernement sur une machine disponible, il est plus susceptible d’être remarqué par les équipes de sécurité au sein des organisations concernées » explique Alan Neville.

Le malware reste également actif sur un certain nombre de machines à travers le monde, suggérant que le groupe mène toujours ses attaques hautement ciblées. Les Etats-Unis semblent particulièrement ciblés.

Go to Source


bouton-devis