Infekcja dysku USB jako przyczyna ataku na szpital w Europie – ślad prowadzi do chińskich hakerów

Nowa wersja chińskiego oprogramowania szpiegowskiego zainfekowała sieć jednego ze szpitali za sprawą dysku USB. Złośliwe oprogramowanie wykryli analitycy Check Point Research, którzy badali źródło i konsekwencje ataku. Za infekcją stoi najprawdopodobniej chińska grupa hakerska Camaro Dragon.

Zespół Check Point Research badał w ostatnich tygodniach atak hakerski przeprowadzony na jeden z europejskich szpitali. Śledztwo ujawniło, że dostęp do sieci został uzyskany przy użyciu zainfekowanego dysku USB. Pracownik, który brał udział w jednej z konferencji medycznych w Azji, podobno podzielił się swoją prezentacją za pomocą dysku USB, który w konsekwencji został zainfekowany.

Dalsza analiza ujawniła, że za oprogramowaniem stoi najprawdopodobniej Camaro Dragon, chińska grupa APT znana również jako Mustang Panda czy LuminousMoth, która niedawno przeprowadziła głośny atak na routery TP Link.

Jeszcze do niedawna chińscy cyberprzestępcy koncentrowali się na atakowaniu instytucji z krajów Azji Południowo-Wschodniej. Dziś wiadomo, że ugrupowanie rozszerzyło swoją działalność na praktycznie cały świat, komentują sprawę specjaliści z Check Point Research.

Jak doszło do infekcji?

Po powrocie z azjatyckiej konferencji, jeden z pracowników szpitala użył wspomnianą pamięć USB na jednym ze służbowych komputerów, co doprowadziło do rozprzestrzenienia się infekcji na całą sieć szpitala.

Złośliwe oprogramowanie jest częścią zestawu narzędzi o nazwie „SSE”, który został opisany pod koniec 2022 r. – Konsekwencje pomyślnej infekcji są dwojakie: złośliwe oprogramowanie nie tylko tworzy backdoora na zaatakowanej maszynie, ale także rozprzestrzenia się na nowo podłączone dyski wymienne — ostrzegają eksperci Check Point Research na swoim blogu.

Główny wariant ładunku, nazwany WispRider, posiadał funkcję backdoora oraz możliwości rozprzestrzeniania się przez USB za pomocą programu uruchamiającego HopperTick. Program zawiera również dodatkowe funkcje, takie jak np. obejście SmadAV, popularnego w Azji rozwiązania antywirusowego. Szkodliwe oprogramowanie ładuje również biblioteki DLL przy użyciu komponentów oprogramowania zabezpieczającego, takiego jak G-DATA Total Security oraz dwóch głównych firm zajmujących się grami (Electronic Arts i Riot Games).

– To podejście nie tylko umożliwia infiltrację potencjalnie odizolowanych systemów, ale także zapewnia i utrzymuje dostęp do szerokiej gamy podmiotów, nawet tych, które nie są głównym celem – dodają przedstawiciele Check Pointa.