ヘルスケア機器経由で企業スパイするマルウェア「Kwampirs」が登場

by Ash Edmonds

セキュリティソフトウェア開発のシマンテックが、世界中の医療機関や関連部門をターゲットに企業スパイを行うハッキンググループ「Orangeworm」の存在を明らかにしました。Orangewormは、X線やMRIなどに用いられるハイテク医療機器の制御に使われるソフトウェアのホスティングマシンや、患者の同意書を作成する際に使用されるマシンに、マルウェアを感染させることでマシン経由で企業スパイを行っているとのことです。

New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia | Symantec Blogs
https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia

Hackers Behind Healthcare Espionage Infect X-Ray and MRI Machines
https://thehackernews.com/2018/04/healthcare-cyber-attacks.html

シマンテックが発表したレポートによると、Orangewormは2015年代初頭から企業に対するスパイ活動を行っており、医療機関を中心にアメリカ・ヨーロッパ・アジアに拠点を置く国際的な企業のシステムをターゲットにハッキングを行っているとのこと。

Orangewormがハッキングのターゲットとした企業の業種は以下の通り。約4割がヘルスケア関連で、それに製造・IT関連・業種不明が同率の15％で続いています。

ターゲットとなった企業の本拠地は以下の通り。最も多いのはアメリカの企業の17％で、以下、国籍不明(10％)、インド・サウジアラビア(7％)、フィリピン・ハンガリー・イギリス(5％)と続きます。

Orangewormはターゲットとなるマシン経由でネットワークに侵入したのち、バックドアを設け、いつでも遠隔から端末にアクセスして機密データを盗めるようになる「Kwampirs」と呼ばれるトロイの木馬をインストールします。このKwampirsを解析したところ、ハッシュベースの検出を回避するためにランダムに生成された文字列をメインのDLLペイロードに挿入することが明らかになっています。また、Kwampirsは侵入したシステムが再起動してもすぐさまサービスを再起動できるように、以下のような設定でサービスを作成します。

また、Kwampirsは侵入したコンピューターに関するいくつかの基本情報を収集し、ハッカー向けにリモートコマンド制御サーバーを送信することで、ハッキングされたシステムがどのようなユーザーによって使われているものなのかをグループ分けできるようになっています。具体的には、「システムが研究者によって使われているのかどうか」や「システムの使用者はハッキング価値の高いターゲットかどうか」を判断している可能性が高いとのこと。

そして、Kwampirsは自身を複製して他のシステムに拡散する性質を持ったワームでもあるため、感染したシステムが接続するネットワーク上で積極的に自身の分身を拡散。そして同じように「Kwampirsに感染したコンピューター」を複数生み出そうとします。

Kwampirsはサードパーティー製の偵察ツールなどを使用するのではなく、システムの組み込みコマンドを利用して情報を収集します。実際にKwampirsが感染したシステム上では以下のようなコマンドが秘密裏に実行されているそうです。

上記のコマンドは、Orangewormが「(Kwampirsが感染したコンピューターが)最近アクセスしたコンピューターや、使用しているネットワークアダプタの情報、さらには使用可能なネットワーク共有、マップされたドライブ、侵入先のコンピューターに存在するファイルに関する情報」などを盗むのに役立つそうです。

なお、シマンテックは「Orangewormの正確な動機は定かではなく、組織の起源を特定するのに役立つ情報はありません。しかし、Orangewormは商業目的でスパイ活動を行っている可能性が高い」としています。