Europejski szpital zainfekowany chińskim oprogramowaniem. Jak jeden nieświadomy pracownik prawie spowodował wyciek danych?
Badacze z firmy Check Point Research, która zapewnia wiodącą analizę zagrożeń cybernetycznych opowiedzieli o niezwykłym incydencie bezpieczeństwa. Jeden z europejskich szpitali został zainfekowany chińskim oprogramowaniem typu malware. Wszystko za sprawą pendrive’a, na którym wirus się znajdował. Pracownik szpitala uczestniczył w konferencji w Azji. Swoją prezentację udostępniał z własnego dysku USB, podłączając go do tamtejszego sprzętu, a następnie wrócił z pendrivem do Europy.
Czy to atak hakerski? Niezupełnie!
Okazało się, że sprzęt, z którego pracownik szpitala korzystał w trakcie konferencji, był zainfekowany, a wirus dostał się na dysk USB. Po powrocie do kraju, pracownik szpitala podłączył pendrive’a do systemów w pracy i nieświadomie wprowadził złośliwe oprogramowanie typu malware do wewnętrznej sieci szpitala. Zainfekowane zostały również bazy danych osobowych.
Jak podaje Check Point Research, autorem wirusa jest azjatycka grupa Camaro Dragon. Znamy ją także pod nazwami Mustang Panda i LuminousMoth. Pod tą ostatnią nazwą nie tak dawno przeprowadzili duży atak na routery TP Link.
Niezwykłość ataku, czyli kolejny poziom rozwoju wirusów
Podczas dochodzenia zespół Check Point Research (CPR) odkrył, że wirus, którym zarażono systemy szpitala to nowsze wersje złośliwego oprogramowania tego typu. Nowość, a zarazem niebezpieczeństwo polega na tym, że wirus ma umiejętność samorozprzestrzeniania się przez dyski USB. W ten sposób infekcje ze złośliwym oprogramowaniem pochodzące z Azji Południowo-Wschodniej rozprzestrzeniają się w niekontrolowany sposób na różne sieci na całym świecie, nawet jeśli te sieci nie są głównymi celami podmiotów zagrażających.
Jak działa wirus z Chin?
Na zainfekowanym dysku USB, ofiara widzi tylko jeden plik zawierający wirusa. Szkodliwy program ma ikonę oraz nosi nazwę taką samą, co dysk USB. Wszystkie inne pliki użytkownika są ukryte w osobnym folderze. Łańcuch infekcji rozpoczyna się w momencie, gdy nieświadomy użytkownik kliknie tę ikonę. Następuje wtedy uruchomienie złośliwego oprogramowania Delphi.
Grupa Camaro Dragon APT wciąż wykorzystuje urządzenia USB jako sposób infekowania celowych systemów, skutecznie łącząc tę technikę z innymi taktykami. Ich działania obejmują m.in. wykorzystanie komponentów rozwiązania bezpieczeństwa do ładowania bocznych bibliotek DLL, omijanie popularnego oprogramowania antywirusowego SmadAV, które jest popularne w krajach Azji Południowo-Wschodniej, oraz ukrywanie złośliwego oprogramowania jako legalnych plików dostawcy zabezpieczeń.
Skutki i lekcja na przyszłość
Skutki udanej infekcji są dwuznaczne: złośliwe oprogramowanie nie tylko tworzy tzw. backdoora na zaatakowanym komputerze, ale również rozprzestrzenia się na podłączone później nośniki wymienne. Możliwość samodzielnego i niekontrolowanego rozprzestrzeniania się na wielu urządzeniach zwiększa zasięg i potencjalny wpływ tego zagrożenia. Takie podejście umożliwia nie tylko infiltrowanie potencjalnie izolowanych systemów, ale także utrzymanie dostępu do szerokiego spektrum podmiotów, nawet tych, które nie są bezpośrednim celem tych ataków.
Rozpowszechnienie i charakter ataków wykorzystujących złośliwe oprogramowanie USB, które samo się rozprzestrzenia, podkreślają konieczność ochrony przed nimi, nawet jeśli organizacje nie są bezpośrednio celem tych kampanii. Tym razem przypadki zainfekowania tym wirusem znaleziono w tych krajach: Myanmar, Korea Południowa, Wielka Brytania, Indie i Rosja. Kto wie, jaki będzie następny cel?
Sprawdź także:
