Το FBI εξέδωσε μια προειδοποίηση τη Δευτέρα, στην οποία αναφέρει ότι μια κρατική hacking ομάδα χρησιμοποιεί το κακόβουλο λογισμικό Kwampirs και πραγματοποιεί supply chain επιθέσεις στο πλαίσιο μιας παγκόσμιας hacking εκστρατείας. Στόχος των hackers είναι εταιρείες σε διάφορους βιομηχανικούς κλάδους και κυρίως στον τομέα της υγείας.
Πρόκειται για την τρίτη προειδοποίηση του FBI σχετικά με αυτή τη hacking ομάδα, μέσα σε τρεις μήνες. Οι δύο πρώτες είχαν δημοσιευτεί στις 6 Ιανουαρίου και στις 5 Φεβρουαρίου.
Αυτή τη φορά, το FBI τόνισε ότι ορισμένοι από τους στόχους των hackers είναι οργανισμοί υγειονομικής περίθαλψης, οι οποίοι αυτό το διάστημα αντιμετωπίζουν ένα πολύ σημαντικό πρόβλημα, τον κορωνοϊό.
Πέρα από την αποστολή ενός PIN (Private Industry Notification), το FBI έχει επίσης δημοσιεύσει δύο Flash ειδοποιήσεις (Flash alerts). Η μία ειδοποίηση περιέχει κανόνες YARA για τον εντοπισμό του κακόβουλου λογισμικού Kwampirs στα μολυσμένα δίκτυα. Η δεύτερη περιέχει μια τεχνική αναφορά, με IOCs (δείκτες παραβίασης).
Και τα δύο Flash alerts είναι ουσιαστικά αναδημοσιεύσεις των εκθέσεων του Φεβρουαρίου και του Ιανουαρίου. Ωστόσο, έχουν προστεθεί κάποιες νέες πληροφορίες.
Το FBI προειδοποιεί για supply chain επιθέσεις σε οργανισμούς υγείας
Το FBI ονόμασε την hacking ομάδα, πίσω από τις supply chain επιθέσεις, Kwampirs, λόγω του malware που χρησιμοποιεί. Περιέγραψε την ομάδα ως Advanced Persistent Threat (APT), ένας όρος που χρησιμοποιείται συνήθως για κρατικές hacking ομάδες.
Οι ερευνητές του FBI δήλωσαν ότι η ομάδα δραστηριοποιείται από το 2016. Τότε, παρατηρήθηκαν οι πρώτες επιθέσεις με το Kwampirs remote access trojan (RAT).
Οι έρευνες έδειξαν ότι στα θύματα της ομάδας περιλαμβάνονται επιχειρήσεις στον τομέα της υγείας, της ενέργειας, της μηχανικής, του software supply chain κλπ. Οι επιθέσεις παρατηρήθηκαν σε επιχειρήσεις στις Ηνωμένες Πολιτείες, την Ευρώπη, την Ασία και τη Μέση Ανατολή.
Επίσης, στους στόχους (αν και δευτερογενείς) περιλαμβάνονται κάποια χρηματοπιστωτικά ιδρύματα και μεγάλα δικηγορικά γραφεία.
Ωστόσο, βασικός στόχος είναι ο τομέας της υγειονομικής περίθαλψης.
Σύμφωνα με το FBI, “οι επιχειρήσεις της Kwampirs κατά παγκόσμιων οντοτήτων υγειονομικής περίθαλψης ήταν αποτελεσματικές”.
Οι hackers κατάφεραν να αποκτήσουν “ευρεία και διαρκή πρόσβαση” σε στοχευμένες οντότητες. Τα θύματα είναι διεθνείς οργανισμοί υγειονομικής περίθαλψης αλλά και τοπικά νοσοκομεία.
Η ομάδα Kwampirs απέκτησε πρόσβαση στα νοσοκομεία μέσω supply chain επιθέσεων
Το FBI θεωρεί ότι οι hackers της Kwampirs κατάφεραν να αποκτήσουν πρόσβαση σε μεγάλο αριθμό νοσοκομείων μέσω επιθέσεων σε προμηθευτές software και hardware προϊόντων, που εφοδιάζουν τα νοσοκομεία.
Σε κάποιες επιθέσεις, οι hackers είχαν πρόσβαση σε μερικά μόνο μηχανήματα. Σε άλλες, παραβίασαν ολόκληρα τα δίκτυα των επιχειρήσεων.
Όπως, είπαμε και παραπάνω, το FBI δίνει λεπτομέρειες σε ένα από τα Flash alerts του, σχετικά με την ανίχνευση του κακόβουλου λογισμικού.
Οι ειδικοί δεν συνέδεσαν άμεσα τους hackers με κάποια χώρα, αλλά είπαν ότι ο κώδικας του malware τους έχει σημαντικές ομοιότητες με το Disttrack malware, γνωστό ως Shamoon, το οποίο έχει συνδεθεί με Ιρανούς hackers.
Δεν γνωρίζουμε αν οι νέες προειδοποιήσεις του FBI οφείλονται σε αυξημένες επιθέσεις της ομάδας αυτό το διάστημα. Μπορεί απλά να ήθελε να θέσει τον τομέα της υγειονομικής περίθαλψης σε επαγρύπνηση.
Σε κίνδυνο ο τομέας της υγείας λόγω κορωνοϊού
Αυτό το διάστημα, οι οργανισμοί υγειονομικής περίθαλψης και ιατρικής έρευνας αποτελούν έναν από τους πιο σημαντικούς στόχους hacking επιχειρήσεων και κατασκοπείας.
Την περασμένη εβδομάδα, το Reuters ανέφερε ότι μια κρατική hacking ομάδα προσπάθησε πρόσφατα να παραβιάσει τον Παγκόσμιο Οργανισμό Υγείας.