4月25日訊 安全研究人員們正面臨新的難題：他們無法解釋黑客究竟為何要利用惡意軟件感染全球各醫療機構內用于控制核磁共振（MRI）與 X 射線機的計算機設備？這些黑客又是如何做到的？

Orangeworm將矛頭指向全球醫療衛生機構

最新感染狀況全部源自一種名為 Kwampirs 的后門木馬，研究人員們認為這個木馬與新近出現的 Orangeworm 黑客組織有所關聯。

賽門鐵克2018年4月23日發布報告稱，追蹤到黑客組織“Orangeworm”針對歐美和亞洲地區醫療保健及相關行業發起針對性攻擊，安全研究人員們發現其已經感染了世界各地的眾多醫療組織目標。

黑客組織 Orangeworm 2015年1月首次浮出水面。為了攻擊目標受害者，該組織通過供應鏈攻擊對相關行業下手。賽門鐵克發現，已知的受害者包括醫療保健提供商、制藥公司、IT 解決方案提供商和為醫療保健行業提供服務的設備制造商，該組織可能是出于企業間諜的目的發動攻擊。

精心挑選攻擊目標

賽門鐵克指出，從已知的受害者來看，Orangeworm 并不是隨機選擇目標或隨意發起攻擊，相反，該組織在選擇目標方面很謹慎，在發起攻擊之前做了大量規劃工作。

賽門鐵克的遙測數據顯示，Orangeworm 的主要攻擊目標集中在醫療保健行業，經證實的40%的受害企業屬于醫療保健行業，其余目標即使不直接參與醫療衛生行業，亦與該行業存在著千絲萬縷的聯系，Orangeworm 曾經感染多家物流、農業、制造以及 IT 服務企業的網絡，而其中絕大多數公司負責為醫療衛生機構提供服務。

受該黑客組織影響的國家及行業（可點擊圖片放大查看）

被攻擊的企業及機構分布在全球數十個國家，包括沙特阿拉伯、印度、菲律賓、匈牙利、英國、土耳其、德國、波蘭、中國、瑞典、加拿大、法國等，其中美國（17％）為重災區。

研究人員們認為，攻擊者們希望通過感染服務供應商以實施供應鏈攻擊，進而滲透目標醫療衛生機構的內部網絡。

Orangeworm并非民族國家支持型APT

調查人員們表示， Orangeworm 無疑屬于高級持續威脅（APT）組織，但其背后似乎并無民族國家提供支持。該組織可能希望從醫療機構處竊取患者信息并在黑市上出售，畢竟存儲在醫療機構中的患者信息在完整性方面要遠超金融機構或任何其它企業所能掌握的用戶資料。

一直使用同一個惡意軟件：Kwampirs

研究人員表示，這批攻擊者非常大膽，不但使用過時的橫向移動方法，而且絲毫不擔心自己的行蹤被發現。Orangeworm 自首次攻擊以來從未對該惡意軟件進行過更新，盡管如此，研究人員們仍然花了整整三年時間才確定并披露該組織的攻擊事件。

Orangeworm 黑客組織總是以同樣的方式實施攻擊：他們首先感染一臺計算機，而后借此進行 Kwampirs 惡意軟件傳播，最終達到遠程訪問每一臺受感染設備的目的。

攻擊者們以無差別方式將 Kwampirs 傳播至盡可能多的系統當中，這也解釋了為什么控制醫療設備的計算機也同樣受到感染，例如核磁共振機與X射線機。研究人員們認為，該小組會利用 Kwampirs 搜索其感興趣的數據。

盯上老舊設備

調查人員們認為，Orangeworm 黑客組織的攻擊對象主要為大多數醫療衛生機構中使用的陳舊計算機，其中大部分很少更新、通常未使用反病毒軟件，因此極易遭遇黑客入侵。