企業などのスパイ活動のためにヘルスケア関連分野などの組織のシステムにカスタムマルウェアをインストールしているサイバー犯罪者組織について新たに報告されている。
これらの標的型攻撃は、厳選された少数の組織のほか、それらの組織にサービスを提供するサプライチェーンに対しても仕掛けられている。その戦術とカスタムマルウェアの使用は、これらの攻撃が政府ではなく、自らの目的のために活動するサイバー犯罪者組織の仕業であることを示唆している。
今まで知られていなかったこのOrangewormという組織は、Symantecの研究者らによって発見された。Orangewormは「Kwampirs」として知られるカスタムマルウェアを米国や欧州、アジアの大規模国際企業のシステムにインストールしている。特にヘルスケア分野を標的にしており、被害者の40%は同分野の組織である。
ほかの顕著な標的には、テクノロジ分野や製造分野の組織が含まれる。Orangewormは2015年後半から活動していると考えられている。
確認されている被害者には、医療サービス提供者のほか、それらの組織と取引のある製薬会社やテクノロジ企業、機器メーカーも含まれる。被害者の特徴を考えると、Orangewormは標的を慎重かつ意図的に選び、綿密な計画を立てた後で攻撃を仕掛けていると研究者らは述べている。
ヘルスケア分野では、レントゲンやMRIの機器を含むさまざまなシステムのほか、同意書に必要事項を記入する患者の支援に使われるマシンにもKwampirsマルウェアがインストールされていることが確認された。明確な動機は不明だが、攻撃者らはそれらのシステムに保存された情報を盗むのではなく、主にそれらのデバイス自体について知ることに関心があるようにも見受けられるという。
ネットワーク上での活動に関して言えば、Kwampirsは特に調査を行うように設計されているようだが、必要ならそれ以外のタスクを実行できる能力も備える。
標的のネットワークに侵入したKwampirsは、セキュリティを破られたコンピュータへのリモートアクセスを攻撃者に提供する。そのバックドアは、ネットワークアダプタ情報やシステムバージョン情報、言語設定など、感染マシンに関する基本的な情報を最初に収集する。
Symantecによると、攻撃者が利用している手法はやや古いが、「Windows XP」などの古いOSを使用している環境では依然として有効だ。医療分野では、機器が医療分野向けに特化して作られていることなどから、こうしたOSが現在も使用されている。また、攻撃者は発見されることをさほど気にしていないようだという。
さらにこのマルウェアは、世界の多数の機器で活動を継続していることから、現在もこのグループが高度に標的を絞った攻撃を実行している可能性がある。Kwampirは米国で最も多く発見されているという。Symantecは、感染しているとみられる組織に通知しようと努めていると述べている。また、セキュリティソフトウェアを利用し、システムを最新にしておくことで、Orangewormの攻撃から保護できるとしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
