恶意软件Kwampirs以医疗行业供应链为目标

4月25日讯 安全研究人员们正面临新的难题：他们无法解释黑客究竟为何要利用恶意软件感染全球各医疗机构内用于控制核磁共振（MRI）与 X 射线机的计算机设备？这些黑客又是如何做到的？

Orangeworm将矛头指向全球医疗卫生机构

最新感染状况全部源自一种名为 Kwampirs的后门木马，研究人员们认为这个木马与新近出现的 Orangeworm 黑客组织有所关联。

赛门铁克2018年4月23日发布报告称，追踪到黑客组织“Orangeworm”针对欧美和亚洲地区医疗保健及相关行业发起针对性攻击，安全研究人员们发现其已经感染了世界各地的众多医疗组织目标。

黑客组织 Orangeworm 2015年1月首次浮出水面。为了攻击目标受害者，该组织通过供应链攻击对相关行业下手。赛门铁克发现，已知的受害者包括医疗保健提供商、制药公司、IT 解决方案提供商和为医疗保健行业提供服务的设备制造商，该组织可能是出于企业间谍的目的发动攻击。

精心挑选攻击目标

赛门铁克指出，从已知的受害者来看，Orangeworm 并不是随机选择目标或随意发起攻击，相反，该组织在选择目标方面很谨慎，在发起攻击之前做了大量规划工作。

赛门铁克的遥测数据显示，Orangeworm 的主要攻击目标集中在医疗保健行业，经证实的40%的受害企业属于医疗保健行业，其余目标即使不直接参与医疗卫生行业，亦与该行业存在着千丝万缕的联系，Orangeworm 曾经感染多家物流、农业、制造以及 IT 服务企业的网络，而其中绝大多数公司负责为医疗卫生机构提供服务。

受该黑客组织影响的国家及行业（可点击图片放大查看）

被攻击的企业及机构分布在全球数十个国家，包括沙特阿拉伯、印度、菲律宾、匈牙利、英国、土耳其、德国、波兰、中国、瑞典、加拿大、法国等，其中美国（17％）为重灾区。

研究人员们认为，攻击者们希望通过感染服务供应商以实施供应链攻击，进而渗透目标医疗卫生机构的内部网络。

Orangeworm并非民族国家支持型APT

调查人员们表示， Orangeworm 无疑属于高级持续威胁（APT）组织，但其背后似乎并无民族国家提供支持。该组织可能希望从医疗机构处窃取患者信息并在黑市上出售，毕竟存储在医疗机构中的患者信息在完整性方面要远超金融机构或任何其它企业所能掌握的用户资料。

一直使用同一个恶意软件：Kwampirs

研究人员表示，这批攻击者非常大胆，不但使用过时的横向移动方法，而且丝毫不担心自己的行踪被发现。Orangeworm 自首次攻击以来从未对该恶意软件进行过更新，尽管如此，研究人员们仍然花了整整三年时间才确定并披露该组织的攻击事件。

Orangeworm 黑客组织总是以同样的方式实施攻击：他们首先感染一台计算机，而后借此进行 Kwampirs 恶意软件传播，最终达到远程访问每一台受感染设备的目的。

攻击者们以无差别方式将 Kwampirs 传播至尽可能多的系统当中，这也解释了为什么控制医疗设备的计算机也同样受到感染，例如核磁共振机与X射线机。研究人员们认为，该小组会利用 Kwampirs 搜索其感兴趣的数据。

盯上老旧设备

调查人员们认为，Orangeworm 黑客组织的攻击对象主要为大多数医疗卫生机构中使用的陈旧计算机，其中大部分很少更新、通常未使用反病毒软件，因此极易遭遇黑客入侵。