Supply Chain Attacks

Neue Angriffsgruppe Orangeworm zielt auf Gesundheitssektor ab

, München, Symantec | Autor: Herbert Wieler

Neue Angriffsgruppe Orangeworm zielt auf Gesundheitssektor ab

Gezielte Angriffe in USA, Europa und Asien

Symantec hat eine neue Angriffsgruppe namens Orangeworm identifiziert, die Kwampirs-Hintertüren bei ihren gezielten Angriffskampagne gegen den Gesundheitssektor einsetzen. Die Angreifer hatten bereits mit größeren, gezielten Supply Chain Angriffen gegen Organisationen in den Branchen Gesundheitsdienstleister, Pharmaunternehmen, IT-Lösungsanbieter für das Gesundheitswesen und Gerätehersteller, die die Gesundheitsindustrie beliefern, auf sich aufmerksam gemacht.

Fokus Gesundheitswesen

Basierend auf der Liste der bekannten Opfer wählt Orangeworm seine Ziele nicht zufällig aus oder führt ein opportunistisches Hacken durch. Vielmehr scheint die Gruppe ihre Ziele sehr sorgfältig zu wählen, bevor sie einen Angriff startet. Laut Symantec-Telemetrie sind fast 40 Prozent der von Orangeworm angegriffenen Opferorganisationen in der Gesundheitsbranche tätig.

Die Kwampirs-Malware wurde auf Geräten gefunden, auf denen Software für die Verwendung und Steuerung von High-Tech-Bildgebungsgeräten wie Röntgen- und MRT-Geräten installiert war. Darüber hinaus wurde beobachtet, dass Orangeworm ein Interesse an Maschinen hat, die Patienten helfen, Einwilligungsformulare für die erforderlichen Verfahren auszufüllen. Die genauen Motive der Gruppe sind noch unklar

Zu den sekundären Zielen von Orangeworm gehören Fertigung, Informationstechnologie, Landwirtschaft und Logistik. Auch wenn diese Branchen voneinander unabhängig zu sein scheinen, haben die Security Forscher von Symantec festgestellt, dass sie mehrere Verbindungen zur Gesundheitsversorgung haben, z. B. große Hersteller von medizinischen Bildgebungsgeräten, die direkt an Gesundheitsunternehmen verkauft werden, IT-Organisationen, die medizinische Kliniken unterstützen, und Logistikorganisationen die Gesundheitsversorgungen anbieten.

Vorgehensweise

Sobald Orangeworm das Netzwerk eines Opfers infiltriert hat, wird der Trojan.Kwampirs eingesetzt, ein Backdoor-Trojaner, der den Angreifern Remote-Zugriff auf den kompromittierten Computer ermöglicht. Bei der Ausführung entschlüsselt Kwampirs eine Kopie seines DLL Payloads und extrahiert ihn. Bevor die Nutzdaten auf die Festplatte geschrieben werden, fügt er eine zufällig generierte Zeichenfolge in die Mitte des entschlüsselten Payloads ein, um Hash-basierte Erkennungen zu umgehen. Um die Persistenz zu gewährleisten, erstellt Kwampirs einen Dienst um sicherzustellen, dass der Payload beim Systemneustart in den Arbeitsspeicher geladen wird.

Der Backdoor sammelt auch einige rudimentäre Informationen über den kompromittierten Computer, einschließlich einiger grundlegender Netzwerkadapterinformationen, Systemversionsinformationen und Spracheinstellungen. Orangeworm verwendet diese Informationen wahrscheinlich, um die gewinnbringende Qualität des Opferrechners zu ermitteln. Sobald Orangeworm feststellt, dass ein potenzielles Opfer von Interesse ist, kopiert es aggressiv den Backdoor über offene Netzwerkfreigaben, um andere Computer zu infizieren. Zu diesem Zeitpunkt sammeln die Angreifer so viele zusätzliche Informationen über das Netzwerk des Opfers wie möglich, einschließlich Informationen zu kürzlich aufgerufenen Computern, Netzwerkadapterinformationen, verfügbaren Netzwerkfreigaben, zugeordneten Laufwerken und Dateien auf dem kompromittierten Computer.

Keine Sorge, entdeckt zu werden

Kwampirs verwendet ein ziemlich aggressives Mittel, um sich selbst innerhalb eines Netzwerks eines Opfers zu verbreiten, indem es sich über Netzwerkfreigaben kopiert. Obwohl diese Methode als etwas alt gilt, ist sie möglicherweise weiterhin für Umgebungen geeignet, in denen ältere Betriebssysteme wie Windows XP ausgeführt werden. Diese Methode hat sich wahrscheinlich in der Gesundheitsbranche als wirksam erwiesen, da immer noch ältere Systeme im Einsatz sind. Ältere Systeme wie Windows XP sind in dieser Branche sehr viel häufiger anzutreffen. Darüber hinaus durchläuft die Malware nach der Infektion eine große Liste von Command & Control-Servern (C&C), die in die Malware eingebettet sind. Obwohl der Payload einen kleinen Teil von sich selbst verändert hat und sich selbst über das Netzwerk kopiert, um der Erkennung zu entgehen, haben die Angreifer keine großen Anstrengungen unternommen, das C&C – Kommunikationsprotokoll von Anfang an zu ändern. Laut der Symantec Analyse gilt diese Methode als besonders "laut" und kann darauf hindeuten, dass Orangeworm sich nicht allzu sehr damit beschäftigt entdeckt zu werden. Die Tatsache, dass sich seit der ersten Entdeckung wenig an den Internas von Kwampirs geändert hat, könnte auch darauf hindeuten, dass frühere Entschärfungsmethoden gegen die Malware erfolglos waren und dass die Angreifer ihre beabsichtigten Ziele erreichen konnten, obwohl die Opfer sich ihrer Anwesenheit im Netzwerk bewusst waren.

Derzeit gibt es noch keine technischen oder operativen Indikatoren, um die genaue Herkunft der Gruppe zu ermitteln.