Расследование показало, что злоумышленники атакуют ПК, отвечающие за функционирование сканеров МРТ и рентген-аппаратов. При этом используется троянская программа Kwampirs, обладающая функционалом классического червя.

Злоумышленники пытались похитить патенты медицинских организаций, чтобы в дальнейшем перепродать их.

Кроме медицинских организаций группа атаковала различные производства (15%), сектор IT (15%), бизнес в сфере сельского хозяйства (8%) и логистические компании (8%). При этом эксперты Symantec предположили, что группировка не относится к категории «правительственных хакеров», однако занимаются кибершпионажем на профессиональном уровне.

Проанализировав пострадавшие компании, исследователи сделали вывод, что главная цель преступников – медицинская отрасль, а ИТ-компании и логистические организации компрометируются в рамках масштабной атаки на узлы поставок. Одно из предположений – злоумышленники пытались похитить патенты медицинских организаций, чтобы в дальнейшем перепродать их.

Вредоносная кампания оставалась незамеченной много лет, поскольку в сфере здравоохранения очень много старых ПК.

После проникновения в систему, утилита Kwampirs собирает и передает на внешний сервер основную информацию об атакованном устройстве. На скомпрометированном устройстве также активировался бэкдор, который позволял злоумышленникам получить удаленный доступ к личным данным. Если предварительный анализ показывал, что в системе могут храниться важные данные, осуществлялась кража данных. Также производились активные попытки разослать вредоносную утилиту на другие устройства, подключенные к текущей локальной сети.

Исследователи отметили, что вирус не делал попытки скрыть свое присутствие в системе, а модули не обновлялись с 2015 года. Однако простые элементы маскировки все же присутствовали. Kwampirs в интегрировал в файл DLL случайный набор символов, что позволяет избежать обнаружения через хэш. В атакованной системе также запускалась собственная служба, что позволяет обеспечить автоматическую загрузку вредоносных модулей при включении устройства.

Эксперты Symantec предположили, что вредоносная кампания оставалась незамеченной много лет, поскольку в сфере здравоохранения очень много старых ПК, которые слабо защищены. Более того, на таких устройствах часто отсутствуют антивирусные решения.