SIKKERHET

Ukjent trusselaktør angriper helsesektoren i flere land. Norge er berørt, ifølge Symantec

– Sprer seg aggressivt i nettverket, hvis skadevaren finner et interessant mål.

Blant annet røntgensystemer hos helseforetak i en rekke land er truffet av målrettede dataangrep, som også har rammet Norge, ifølge den ferske rapporten fra Symantec.
Blant annet røntgensystemer hos helseforetak i en rekke land er truffet av målrettede dataangrep, som også har rammet Norge, ifølge den ferske rapporten fra Symantec. Illustrasjon: Colourbox
24. apr. 2018 - 15:31 | Endret 25. apr. 2018 - 08:17
Norge er blant landene som er rammet av målrettede hackerangrep mot helsesektoren, som er utført av en trusselaktør Symantec har valgt å kalle Orangeworm. <i>Illustrasjon:  Symantec</i>
Norge er blant landene som er rammet av målrettede hackerangrep mot helsesektoren, som er utført av en trusselaktør Symantec har valgt å kalle Orangeworm. Illustrasjon:  Symantec

Sikkerhetsforskere hos Symantec har avdekket en serie hackerangrep og kyberspionasje rettet særlig mot helsesektoren og underleverandører.

Norge er blant flere berørte land, der en tidligere ukjent trusselaktør døpt Orangeworm har valgt sine ofre med omhu, ifølge den ferske rapporten.

I lengre tid har de observert infeksjon av en Windows-trojaner døpt «Kwampirs» hos helseforetak og tilhørende verdikjede som inkludert legemiddelindustri, teknologi- og utstyrsleverandører.

Sprer seg aggressivt i nettverket – under vilkår

Skadevaren fungerer som en bakdør og gir angriperne kontroll med ofrenes datamaskin. Den har også rutiner som forsøker å identifisere om riktig type maskin eller miljø er infisert etter gitte kriterier.

Hvis en slik sjekk avdekker et interessant mål, så aktiverer skadevaren det Symantec kaller en aggressiv kopiering av bakdør til andre maskiner i nettverket på tvers av delte mapper.

Det vi si at skadevaren har orm-lignende egenskaper og kan spre seg videre under visse omstendigheter.

Infeksjon er blant annet påvist i utstyr for styring av røntgen- og MRI-maskiner, samt datamaskiner brukt til å fylle ut pasienters samtykkeskjema, opplyser Symantec.

Uklare motiver

Symantec mener at angrepene trolig er utført for å drive spionasje, men de oppgir at de faktiske motivene til gruppen fremstår som uklare.

Og selv om aktiviteten skal ha pågått siden i hvert fall 2015, så er det verken funnet tekniske eller andre indikasjoner på at angriperne er en såkalt statssponset trusselaktør.

– Sannsynligvis er det en person eller en liten gruppe med individer som står bak. Det er foreløpig ingen tekniske eller operasjonelle indikatorer som kan fastslå gruppens opprinnelse, skriver sikkerhetsselskapet.

Teknikken for spredning i nettverket er gammel og kjent, men fortsatt effektiv i miljøer som benytter utdaterte operativsystemer som Windows XP. Her viser sikkerhetsselskapet etter alt å dømme til den sårbare samba-protokollen for delte ressurser i nettverket.

Det er også en kjent sak at helsesektoren har mange eldre, såkalt legacy-systemer. At det finnes medisinsk utstyr som kjører på det nå 17 år gamle operativsystemet Windows XP har flere ganger skapt overskrifter når sykehus rammes av dataangrep.

Orangeworm har bare rammet et mindre antall ofre de siste tre årene, ifølge Symantec. Et kakediagram viser at amerikanske virksomheter er mest berørt med 17 prosent av kjente tilfeller. Ellers er ofrene fordelt på en mengde land, inkludert også Norge med 2 prosent.

Sak under etterforskning

Det er ikke kjent hvilke norske helseforetak som er rammet av Kwampirs-trojaneren, eller om trusselen som den nye rapporten beskriver kan knyttes opp til tidligere kjente hendelser her til lands.

I Norge har et datainnbrudd hos Helse Sør-Øst fått mye oppmerksomhet i år. Saken ble offentlig kjent i januar, men det er fortsatt mange ubesvarte spørsmål. Innbruddet er fortsatt gjenstand for en etterforskning som ledes av Politiets sikkerhetstjeneste (PST).

Hvorvidt angrepskampanjen som nå er avdekket kan knyttes til datainnbruddet hos Helse Sør-Øst er uvisst.

Nasjonal sikkerhetsmyndighet (NSM) bekrefter at de er kjent med Symantec-rapporten og skadevaren som er benyttet.

– Kan det finnes en kobling?

Jeg kan ikke kommentere om det finnes koblinger eller ikke

– Vi kjenner godt til rapporten og nevnte skadevare. Vi kartlegger kontinuerlig på jakt etter sårbarheter og følger eventuelle hendelser opp tett. Jeg kan ikke kommentere om det finnes koblinger eller ikke mellom det som står omtalt her og Helse Sør-Øst eller eventuelt andre som kan være berørt, sier kommunikasjonsdirektør Mona Strøm Arnøy i NSM i en epost til digi.no.

Helseforetaket med ansvar for pasientopplysningene for 2,8 millioner nordmenn vil heller ikke gi nærmere detaljer, verken om hendelsen hos dem eller en mulig tilknytning til Orangeworm.

– Det pågår fortsatt en etterforskning av innbruddet mot Helse Sør-Øst så vi kan ikke gi kommentar utover det som er sagt tidligere, svarer kommunikasjonsrådgiver Nina Olkvam i Helse Sør-Øst.

Etterforskningen hun viser til har nå pågått i mer enn tre måneder. PST leder etterforskningen gjennom felles Cyberkoordineringssenter (FCKS), med bistand fra Nasjonal sikkerhetsmyndighet (NSM), Kripos og E-tjenesten.

(Saken er oppdatert med svar fra NSM).

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.