상세 컨텐츠

본문 제목

의료 서비스 해커들, X-Ray와 MRI 기기들 감염시켜

국내외 보안동향

by 알약(Alyac) 2018. 4. 24. 14:30

본문

Hackers Behind Healthcare Espionage Infect X-Ray and MRI Machines


보안 연구원들이 의료 기관들 및 관련 분야를 타겟으로 기업 간첩 행위를 수행하는 새로운 해킹 그룹을 발견했습니다.


“Orangeworm”이라 명명 된 이 해킹 그룹은 X-Ray, MRI 등 첨단 이미징 기기를 제어하는 소프트웨어를 호스팅하는 기기 및 환자가 동의 양식을 작성하는데 사용 되는 기기들에 웜 트로이 목마를 설치하는 것으로 나타났습니다.


연구원들에 따르면, Orangeworm 해킹 그룹은 2015년 초부터 활동해왔으며 미국, 유럽, 아시아에 위치한 주요 국제 기업의 시스템들을 노려왔으며, 주로 의료 분야에 집중하고 있습니다.


연구원들은 “Orangeworm은 그들이 노리는 의료 분야와 관련 된 피해자들에 접근하기 위해 실행하는 더욱 규모가 큰 공급망 공격의 일부분으로 이러한 공격을 실행하는 것으로 보입니다.”고 밝혔습니다.


공격자는 피해자 네트워크에 침입하면, Kwampirs라는 트로이목마를 설치합니다. 이는 감염 된 컴퓨터에 백도어를 열어 공격자들이 원격으로 기기에 접근하고 중요 데이터를 훔칠 수 있도록 허용합니다.


복호화 중, Kwampirs 악성코드는 해시 기반의 탐지를 피하기 위해 랜덤으로 생성 된 문자열을 메인 DLL 페이로드에 삽입합니다. 그리고 감염 된 시스템에서 재부팅 된 후에도 다시 시작되어 지속될 수 있도록 하는 서비스를 시작합니다.


이후 Kwampirs는 감염 된 기기에 대한 기본적인 정보를 수집해 원격 C&C 서버를 통해 공격자에게 보냅니다. 공격자는 이 정보를 통해 해킹 된 시스템이 연구원의 시스템인지, 아니면 가치가 높은 타겟인지 판별합니다.


<이미지 출처: https://thehackernews.com/2018/04/healthcare-cyber-attacks.html>


만약 해당 피해자가 해킹할 가치가 있다고 판단 되면, 악성코드는 조직 내 다른 컴퓨터들을 감염 시키기 위해 공유 된 네트워크에 자기 자신을 “공격적으로” 배포하기 시작합니다.


피해자 네트워크와 해킹 된 시스템에 대한 추가적인 정보를 얻기 위해, 이 악성코드는 타사 정찰/열거 도구를 사용하지 않고 시스템의 빌트인 명령어를 사용합니다.


공격자들은 위의 명령어들을 사용해 “최근 접근한 컴퓨터, 네트워크 아답터 정보, 사용 가능한 네트워크 공유 자원, 매핑 된 드라이브, 해킹 된 컴퓨터에 존재하는 파일과 관련 된 정보”를 훔칠 수 있습니다


전체 타겟의 40% 가까이 차지하는 의료 및 제약업 이외에도, Orangeworm은 IT, 제조업, 농업 및 물류 분야도 공격한 것으로 나타났습니다.


하지만, 다른 공격 타겟들도 의료 분야와 연관 되어 있습니다. 예를 들면, 의료 기기 제조사, 병원에 서비스를 제공하는 기술 회사, 의료 관련 제품들을 배송하는 물류 회사 등이 타겟이었습니다.


<이미지 출처: https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia>



Orangeworm의 정확한 공격 동기는 아직 명확하지 않으며 이 그룹의 근원을 밝힐 만한 정보는 아직 없습니다. 하지만 연구원들은 이 그룹이 돈을 벌 목적으로 스파잉 활동을 하는 것으로 추정하고 있으며, 국가의 지원을 받는다는 증거는 찾을 수 없었다고 말했습니다.


“피해자들을 조사한 결과, Orangeworm은 피해자를 랜덤으로 선정하거나 기회가 생겼다고 무조건 해킹하지는 않습니다. 오히려, 이 그룹은 공격을 실행하기 전 타겟을 매우 신중하게 선정하며 충분한 계획을 세우는 것으로 보입니다.”


가장 많은 피해자는 미국에서 발견 되었으며, 사우디 아라비아, 인도, 필리핀, 헝가리, 영국, 터키, 독일, 폴란드, 홍콩, 스웨덴, 캐나다, 프랑스 및 기타 국가에서도 피해자가 발견 되었습니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.Kwampirs.A로 탐지중에 있습니다. 





출처 : 

https://thehackernews.com/2018/04/healthcare-cyber-attacks.html

https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia

관련글 더보기

댓글 영역