4月25日訊 安全研究人員們正面臨新的難題：他們無法解釋黑客究竟為何要利用惡意軟件感染全球各醫(yī)療機構(gòu)內(nèi)用于控制核磁共振（MRI）與 X 射線機的計算機設(shè)備？這些黑客又是如何做到的？

Orangeworm將矛頭指向全球醫(yī)療衛(wèi)生機構(gòu)

最新感染狀況全部源自一種名為 Kwampirs 的后門木馬，研究人員們認為這個木馬與新近出現(xiàn)的 Orangeworm 黑客組織有所關(guān)聯(lián)。

賽門鐵克2018年4月23日發(fā)布報告稱，追蹤到黑客組織“Orangeworm”針對歐美和亞洲地區(qū)醫(yī)療保健及相關(guān)行業(yè)發(fā)起針對性攻擊，安全研究人員們發(fā)現(xiàn)其已經(jīng)感染了世界各地的眾多醫(yī)療組織目標。

黑客組織 Orangeworm 2015年1月首次浮出水面。為了攻擊目標受害者，該組織通過供應(yīng)鏈攻擊對相關(guān)行業(yè)下手。賽門鐵克發(fā)現(xiàn)，已知的受害者包括醫(yī)療保健提供商、制藥公司、IT 解決方案提供商和為醫(yī)療保健行業(yè)提供服務(wù)的設(shè)備制造商，該組織可能是出于企業(yè)間諜的目的發(fā)動攻擊。

精心挑選攻擊目標

賽門鐵克指出，從已知的受害者來看，Orangeworm 并不是隨機選擇目標或隨意發(fā)起攻擊，相反，該組織在選擇目標方面很謹慎，在發(fā)起攻擊之前做了大量規(guī)劃工作。

賽門鐵克的遙測數(shù)據(jù)顯示，Orangeworm 的主要攻擊目標集中在醫(yī)療保健行業(yè)，經(jīng)證實的40%的受害企業(yè)屬于醫(yī)療保健行業(yè)，其余目標即使不直接參與醫(yī)療衛(wèi)生行業(yè)，亦與該行業(yè)存在著千絲萬縷的聯(lián)系，Orangeworm 曾經(jīng)感染多家物流、農(nóng)業(yè)、制造以及 IT 服務(wù)企業(yè)的網(wǎng)絡(luò)，而其中絕大多數(shù)公司負責為醫(yī)療衛(wèi)生機構(gòu)提供服務(wù)。

受該黑客組織影響的國家及行業(yè)（可點擊圖片放大查看）

被攻擊的企業(yè)及機構(gòu)分布在全球數(shù)十個國家，包括沙特阿拉伯、印度、菲律賓、匈牙利、英國、土耳其、德國、波蘭、中國、瑞典、加拿大、法國等，其中美國（17％）為重災(zāi)區(qū)。

研究人員們認為，攻擊者們希望通過感染服務(wù)供應(yīng)商以實施供應(yīng)鏈攻擊，進而滲透目標醫(yī)療衛(wèi)生機構(gòu)的內(nèi)部網(wǎng)絡(luò)。

Orangeworm并非民族國家支持型APT

調(diào)查人員們表示， Orangeworm 無疑屬于高級持續(xù)威脅（APT）組織，但其背后似乎并無民族國家提供支持。該組織可能希望從醫(yī)療機構(gòu)處竊取患者信息并在黑市上出售，畢竟存儲在醫(yī)療機構(gòu)中的患者信息在完整性方面要遠超金融機構(gòu)或任何其它企業(yè)所能掌握的用戶資料。

一直使用同一個惡意軟件：Kwampirs

研究人員表示，這批攻擊者非常大膽，不但使用過時的橫向移動方法，而且絲毫不擔心自己的行蹤被發(fā)現(xiàn)。Orangeworm 自首次攻擊以來從未對該惡意軟件進行過更新，盡管如此，研究人員們?nèi)匀换苏陼r間才確定并披露該組織的攻擊事件。

Orangeworm 黑客組織總是以同樣的方式實施攻擊：他們首先感染一臺計算機，而后借此進行 Kwampirs 惡意軟件傳播，最終達到遠程訪問每一臺受感染設(shè)備的目的。

攻擊者們以無差別方式將 Kwampirs 傳播至盡可能多的系統(tǒng)當中，這也解釋了為什么控制醫(yī)療設(shè)備的計算機也同樣受到感染，例如核磁共振機與X射線機。研究人員們認為，該小組會利用 Kwampirs 搜索其感興趣的數(shù)據(jù)。

盯上老舊設(shè)備

調(diào)查人員們認為，Orangeworm 黑客組織的攻擊對象主要為大多數(shù)醫(yī)療衛(wèi)生機構(gòu)中使用的陳舊計算機，其中大部分很少更新、通常未使用反病毒軟件，因此極易遭遇黑客入侵。