Cyberangriffsgruppe ‚Orangeworm‘ hat den Gesundheitssektor im Visier

Sicherheitsexperten haben entdeckt, dass eine Gruppe Cyberkrimineller besonders den Gesundheitssektor in den Vereinigten Staaten von Amerika im Visier haben.

Die unbekannte Gruppe hat ebenfalls in Beziehung stehende Unternehmen in Europa und Asien angegriffen, was bestätigt, dass dies eine weiträumige Cyber-Spionage Kampagne ist, welche von einer berüchtigten Hacker-Gruppe ausgelöst wurde.

Die Cyberangriffsgruppe, die vom Sicherheitsexperten als „Orangeworm“ identifiziert wurde, hat einen Hintertür-Trojaner entwickelt, welcher es Ihnen ermöglicht in die Server von Gesundheitsinstitutionen, einschließlich Krankenhäusern, Pharmaunternehmen und IT Unternehmen einzudringen, welche den Gesundheitsunternehmen dienen.

Im Ganzen, bestätigten Experten von Symantec, dass die gesamte Spionage-Kampagne sich speziell an die Gesundheitsbranche richtete und auf mehreren Kontinenten zur selben Zeit ausgeführt worden war.

Orangeworms primäres Ziel

Nach ausführlichen Recherchen und Analysen des Angriffs, haben die Sicherheitsexperten von Symantec einen detaillierten Bericht veröffentlicht, der bestätigt, dass 39 Prozent der Angriffe sorgfältig gegen Unternehmen in der Gesundheitsbranche ausgeführt worden sind. Der Rest der betroffenen Unternehmen stand indirekt mit der Gesundheitsbranche in Beziehung.

Orangeworm erstellte die trojan.kwampirs Malware um Zugriff auf die Dienstleistungen der Ziele durch eine Hintertüre zu erlangen, sie waren aber bei der umfangreichen Recherche für jedes Ziel nachsichtig, bevor der Angriff ausgeführt wurde.

Die Kwampirs Malware wurde in wichtigen Geräten gefunden, welche in medizinischen Institutionen genutzt werden, wie etwa Röntgenapparate und MRI Scanner.

Sie schafften es sogar in die Geräte einzudringen, welche dafür genutzt werden um Patienten zu helfen mit Ihrer vollständigen Einverständniserklärung.

Keine Patientendaten sind verletzt worden

Mit der weiteren Forschung des Angriffs, bestätigten die Symantec Forscher, dass die Angreifer überraschenderweise keine Daten von der MRI oder von jeglichem anderen Gerät heruntergeladen haben.

Sie haben keine gescannten Bilder, durch die Nutzung dieser Geräte kopiert, es wird aber vermutet, dass der Angriff ausgeführt worden ist um mehr darüber herauszufinden wie solche Ausrüstungen im Gesundheitsumfeld funktionieren.

Während die Tatsache, dass sie keine Informationen gestohlen versichert ist, war das Orangeworm Team im Sektor seit 2015 aktiv und sollte es bis jetzt geschafft haben eine riesige Menge an Daten gesammelt zu haben.

Der wirkliche Grund hinter diesem Angriff bleibt den Sicherheitsforschern bei Symantec immer noch ein Rätsel.

Statistische Daten des Angriffs

Die Telemetriedaten veröffentlichten und verrieten, dass nahezu 40 Prozent der Angriffe an die Gesundheitsbranche gerichtet waren, während 15 Prozent auf die IT- und Herstellungsunternehmen fokussiert waren, welche dem medizinischen Sektor Dienstleistungen liefern.

Ungefähr 8 Prozent der Angriffe richteten sich gegen den Logistik- und Agrarsektor. Die Mehrheit der Opfer von Orangeworm waren in den Vereinigten Staaten von Amerika ansässig (mit über 17 Prozent), während die zweithöchste Opferrate in Saudi Arabien und Indien mit 7 Prozent in beiden Ländern festgestellt wurde.

Die Cyber-Spionagegruppe machte dort nicht Halt, als sie mindestens 20 andere Länder einschließlich dem Vereinigten Königreich, Ungarn, die Philippinen und viele andere mehr angriffen.

Wie der Trojaner den Computer eines Opfers infiziert

Die Orangeworm-Gruppe recherchiert ihre Ziele in verschiedenen Ländern und baut eine Hintertür-Verbindung mit ihren Servern auf. Wenn sie einmal Zugriff findet, werden sie einen ferngesteuerten Zugriff nutzen, um den trojan.kwampirs auf den infizierten Computer hochzuladen.

Die Malware wird seine originale Nutzlast auf der Festplatte entschlüsseln und installieren. Sie wurde auf solch eine Art entworfen, dass es eine Zeichenfolge in der Mitte nutzt, um das Geschehen jeglichen Hash-Erkennungen zu vermeiden.

Jedes Mal wenn das System neugestartet wird, wird eine Datei welche „WmiApSrvEx“ heißt, im Bootsystem installiert, damit die Malware ohne jegliche Probleme für einen verlängerten Zeitraum laufen kann. Es ladet automatisch im Speichersystem jedes Mal wenn der Computer eingeschaltet wird.

Das Sicherheitsteam bestätigte weiter, dass die Malware in der Lage ist alle grundlegenden Informationen zu sammeln, einschließlich Datenverarbeiteter Nutzung des Computers, seiner Netzwerkadapter, Systeminformationen und Spracheinstellungen.

Mit all den gesammelten Informationen, schafften es Hacker mehr über die Netzwerke zu wissen, welche die Adapter nutzten, die verschiedenen Computer im selben Sever und Betriebssystemversionen neben allem anderen um Zugriff auf das gesamte Netzwerk des PCs zu erlangen.

Die Tatsache, dass der Gesundheitssektor daran scheiterte, seine Computer und Software regelmmäßig zu aktualisieren, könnte zu dieser massiven Sicherheitsverletzung geführt haben.

Das Symantec-Team schaffte es alle identifizierten Opfer zu warnen, sie fügten aber ebenfalls hinzu, dass der Orangeworm immer noch in vielen anderen Ländern aktiv sei und ein riesiges Sicherheitsprotokoll geschaffen werden sollte, falls Regierungen dieses Risiko dauerhaft loswerden möchten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.