Ecco il gruppo Orangeworm, i cyber-spioni specializzati in… ospedali!

Apr 24, 2018 Marco Schiaffino Attacchi, Malware, News, RSS, Vulnerabilità 1

I pirati informatici infettano dispositivi medici in tutto il mondo per introdursi nelle reti degli ospedali. I loro obiettivi, però, non sono chiari.

È stato battezzato Orangeworm e, secondo i ricercatori di Symantec, sarebbe un gruppo che non ha legami con servizi segreti o governi, ma che utilizza tecniche molto simili a quelle degli hacker dediti al cyber-spionaggio professionale.

Nel report che descrive l’attività del gruppo, gli analisti spiegano che i membri di Orangeworm hanno sviluppato un trojan personalizzato chiamato Kwampirs, che utilizzano sistematicamente per colpire le strutture sanitarie in Europa, Stati Uniti e Asia.

L’attività di Orangeworm andrebbe avanti da un bel po’ e più precisamente dal 2015. E con caratteristiche molto particolari. Il trojan utilizzato, infatti, usa una tecnica di propagazione molto aggressiva che sfrutta il sistema di condivisione dei dati in rete per diffondersi.

Una strategia che garantisce una buona efficacia solo in condizioni molto particolari, come le reti con sistemi operativi un po’ “datati” utilizzate spesso nelle strutture mediche. Le ragioni sono note: i costosi macchinari utilizzati negli ospedali (per esempio quelli per le radiografie o le risonanze magnetiche) hanno una “vita media” decisamente superiore a quella di altri dispositivi.

Quando non possono essere aggiornati, finiscono per trovarsi nella scomoda posizione di dover contare su un sistema operativo obsoleto, per cui magari non è nemmeno più disponibile il supporto. Si tratta di un problema che si trascina da tempo (come in questo caso di cui abbiamo parlato in passato) e che periodicamente torna alla ribalta.

La predilezione del gruppo Orangeworm per il settore sanitario, però, non sembra essere dettata solo da opportunismo. L’analisi dei ricercatori Symantec evidenzia infatti come il gruppo colpisca anche altri settori, ma comunque collegati all’ambiente medico.

La classificazione delle vittime in base al settore di attività mostra che il 40% dei bersagli sono strutture mediche. Anche le altre vittime, però, hanno a che fare con lo stesso ambiente…

Secondo gli analisti, tutti i bersagli vengono scelti accuratamente e anche quando operano in un settore diverso, hanno qualche legame con il comparto medico. Nell’elenco rientrano infatti soggetti che si occupano della logistica per la consegna dei medicinali, della costruzione di macchinari ospedalieri e via dicendo.

Una delle ipotesi formulate nel rapporto è che gli Orangeworm siano interessati ai dati e alle informazioni personali riguardanti i pazienti, ma siamo nel campo delle speculazioni.

Quel che è certo, è che i pirati informatici non sembrano preoccuparsi più di tanto di coprire le loro tracce. Considerato che il trojan che utilizzano ha subito pochissime modifiche nel corso degli ultimi anni, però, sembra che la loro strategia sia decisamente efficace.

Condividi l'articolo