Chińskojęzyczna grupa cyberprzestępcza szpiegowała firmy farmaceutyczne
Badacze z Kaspersky Lab odkryli dowód na pojawienie się nowego niepokojącego trendu: coraz więcej zaawansowanych ugrupowań cyberprzestępczych skłania się w kierunku ataków na sektor ochrony zdrowia. W organizacjach farmaceutycznych w Wietnamie zostało wykryte szkodliwe oprogramowanie PlugX, którego celem jest kradzież receptur leków oraz informacji biznesowych.
PlugX jest dobrze znanym narzędziem umożliwiającym zdalny dostęp (ang. Remote Administration Tool, RAT). Zwykle jest rozprzestrzeniany za pośrednictwem ataków phishingowych, a wcześniej został wykryty w atakach ukierunkowanych na organizacje wojskowe, rządowe oraz polityczne. Narzędzie to było wykorzystywane przez wiele chińskojęzycznych ugrupowań cyberprzestępczych, w tym Deep Panda, NetTraveler czy Winnti. W 2013 r. odkryto, że to ostatnie – odpowiedzialne za ataki na firmy z branży gier online – wykorzystywało PlugX od maja 2012 r. Co ciekawe, Winnti brał również udział w atakach na firmy farmaceutyczne, których celem była kradzież certyfikatów cyfrowych producentów sprzętu medycznego oraz oprogramowania.
Narzędzie PlugX umożliwia atakującym wykonywanie różnych szkodliwych operacji w systemie bez zgody czy autoryzacji użytkownika, w tym kopiowanie i modyfikowanie plików, przechwytywanie znaków wprowadzanych z klawiatury, kradzież haseł czy przechwytywanie zrzutów ekranu z aktywności użytkownika. PlugX, podobnie jak inne tego typu narzędzia, jest wykorzystywany przez cyberprzestępców do ukradkowej kradzieży i gromadzenia w szkodliwych celach informacji, które są poufne i na których można zarobić.
Wykorzystywanie narzędzi umożliwiających zdalny dostęp w atakach na organizacje farmaceutyczne świadczy o tym, że zaawansowane cybergangi wykazują zwiększone zainteresowanie zarabianiem na sektorze opieki zdrowotnej.
"W organizacjach medycznych prywatne i poufne dane dotyczące opieki zdrowotnej nieustannie migrują z formy papierowej do cyfrowej. Bezpieczeństwo infrastruktury sieciowej tego sektora bywa niekiedy zaniedbywane, dlatego polowanie ugrupowań cyberprzestępczych na informacje dotyczące postępów w zakresie innowacji dotyczących leków i sprzętu budzi prawdziwy niepokój. Przypadki wykrycia szkodliwego oprogramowania PlugX w organizacjach farmaceutycznych wskazują na kolejną bitwę, jaką musimy stoczyć – i wygrać – z cyberprzestępcami" – powiedział Jurij Namiestnikow z Kaspersky Lab.
Z badania przeprowadzonego przez Kaspersky Lab wynika także, że:
- szkodliwe oprogramowanie występowało w systemach ponad 60% organizacji medycznych;
0 na szczycie listy państw o największej liczbie zaatakowanych urządzeń w organizacjach medycznych znalazły się Filipiny, Wenezuela i Tajlandia.
Porady bezpieczeństwa
- Usuń wszystkie węzły, które przetwarzają dane medyczne z publicznych portali WWW.
- Automatycznie aktualizuj zainstalowane oprogramowanie przy użyciu systemów zarządzania łatami na wszystkich węzłach, w tym serwerach.
- Przeprowadź segmentację sieci: nie podłączaj drogiego sprzętu do głównej sieci LAN twojej organizacji.
- Stosuj sprawdzone rozwiązanie bezpieczeństwa klasy korporacyjnej w połączeniu z technologiami przeciwdziałającymi atakom ukierunkowanym oraz analizą zagrożeń. Potrafią one identyfikować i przechwytywać zaawansowane ataki ukierunkowane poprzez analizowanie anomalii sieciowych oraz zapewnienie zespołom odpowiedzialnym za cyberbezpieczeństwo pełnej widoczności sieci oraz automatyzacji reakcji.
