黑客攻擊醫院的X光機和核磁共振機

本周一，賽門鐵克網路安全研究人員發現了一個專門針對醫療設備發起網路攻擊的黑客團體「Orangeworm」，該團體向醫院中的各類控制高科技醫療設備的電腦中安裝木馬蠕蟲程序，不僅包括X光機和核磁共振機，還有一些輔助病人填寫各種同意書的電腦也被感染了惡意軟體。

該黑客組織從2015年開始活躍起來，主要目標針對的是美國、歐洲的跨國公司，在亞洲的目標主要針對醫療機構。黑客入侵醫療機構的網路後會在電腦上安裝名為Kwampirs的木馬程序，可以讓黑客遠程控制電腦並獲取其中的數據。

在數據解密過程中，Kwampirs會隨機在主程序的動態鏈接庫（DLL）中生成一個欄位，這樣可以避免被哈希監測，還會在系統後台常駐並開啟開機自動啟動的服務。被安裝Kwampirs惡意軟體的電腦會和黑客的遠程伺服器進行通信，黑客會根據目標電腦的操作系統和價值高低選擇相應的黑客工具盜取所需數據資料。

如果目標電腦利用價值高，Kwampirs惡意軟體會變得更具侵略性，對接入同一個網路中的其他電腦進行傳播。Kwampirs的高明之處在於不使用其他的命令行來控制，只使用系統自帶的命令就能獲取所需的數據資料。上圖中顯示的命令行可以盜取目標電腦上「任何有關的信息，包括網卡、可用的網路共享、載入的硬碟分區及文件」。

研究發現，Orangeworm的目標40%是醫療機構和藥廠，除此之外還針對IT行業、製造業、農業、物流等行業也有攻擊行為。當然，後者中的不少行業也間接和醫療行業有關係，例如製造業指的是為醫療行業製造相關設備的企業；IT行業指的是為醫療機構提供軟體服務的公司；物流業也是為各醫療機構提供相關設備和藥品的運輸服務企業。

目前尚不清楚Orangeworm的動機是什麼，也不知道該黑客組織的歷史淵源。賽門鐵克認為該黑客組織主要是為了進行商業間諜行為，目前尚未發現該組織和某些國家之間的聯繫。基於目前所獲得的案例發現，該組織並不會隨意選取攻擊目標，在攻擊實施前會制定出詳細周密的計劃。現有被攻擊的公司大部分位在美國境內，還有一些在沙特、印度、菲律賓、匈牙利、英國、土耳其、德國、波蘭、香港、瑞典、加拿大、法國等地區。