Symantec: Maßgeschneiderter Wurm greift medizinische Geräte an

Forscher von Symantec haben eine offenbar maßgeschneiderte Schadsoftware entdeckt, die eine bisher unbekannte Gruppe von Cyberkriminellen gezielt gegen internationale Konzerne in den USA, Europa und Asien einsetzt. Besonderes Augenmerk richtet die Orangeworm genannte Gruppe offenbar auf den Gesundheitssektor. 40 Prozent der Opfer des Wurms „Kwampirs“ bieten Gesundheitsdienste, Medikamente oder medizinische Geräte an oder arbeiten mit solchen Unternehmen zusammen.

Den Forschern zufolge suchen die Hacker ihre Opfer sehr bewusst aus. Die Dazu gehören auch Firmen aus dem Technologiesektor sowie Fertigungsunternehmen. Die Angriffe der offenbar seit 2015 aktiven Gruppe seien zudem von langer Hand geplant.

Innerhalb des Gesundheitssektors fand sich der Kwampirs-Wurm auf einer Vielzahl unterschiedlichster Systeme, darunter Röntgengeräte, Kernspintomographen und Geräte, die Patienten bei den Einverständniserklärungen für notwendige Behandlungen unterstützen. Auffällig ist laut Symantec, dass die Schadsoftware nicht darauf ausgerichtet ist, die auf diesen Systemen gespeicherten Daten zu stehlen. Stattdessen sammle sie in erster Linie Informationen über die Funktionsweise dieser Geräte.

„Wir haben keine Hinweise darauf gefunden, dass die Angreifer Bilder kopieren. Es scheint als sei die Gruppe eher daran interessiert zu erfahren, wie diese Geräte arbeiten“, sagte Alan Neville, Threat Researcher bei Symantec. Darüber hinaus erkunde die Malware das vorhandene Netzwerk und sammle Informationen über Netzwerkaktivitäten. Unter anderem stelle sie Listen mit allen auf der Festplatte eines infizierten Systems gespeicherten Daten zusammen.

Der Wurm verfügt zudem über eine Hintertür, die den Angreifern einen Fernzugriff auf ein System ermöglicht. Darüber sammeln die Hacker auch grundlegende Informationen über das System wie Spracheinstellungen und Details zum Netzwerkadapter sowie zum Betriebssystem. Andere Aktivitäten sollen sicherstellen, dass die Malware nicht von Sicherheitsanwendungen erkannt wird.

Die Forscher vermuten, dass Orangewurm vorrangig herausfinden will, ob ein System von einem besonders wertvollen Ziel wie einem Forscher oder Personen mit Zugang zu vielfältigen Informationen verwendet wird. Treffen sie auf ein solches Ziel, aktivieren sie die Wurmfunktionen der Malware, um den Schädling über Netzwerkfreigaben auf andere Systeme einzuschleusen. Da viele medizinische Systeme maßgeschneidert seien, sei der Anteil von Windows XP besonders hoch, weswegen Angriffe per Netzwerkfreigaben auch ohne Exploits wie EternalBlue funktionierten.

Die meisten noch aktiven Infektionen entdeckte Symantec in den USA. Das Unternehmen geht davon aus, dass die Hackergruppe ebenfalls noch aktiv ist. Die meisten betroffenen Firmen seien inzwischen über die Schadsoftware in ihren Systemen informiert worden.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.