Федеральное бюро расследований предупредило о продолжающейся вредоносной кампании, нацеленной на организации из самых разных отраслей. Преступники в ходе атак используют вредоносное ПО под названием Kwampirs.
По словам ФБР, атаки с использованием трояна Kwampirs продолжаются с 2016 года и направлены на сферу здравоохранения, цепочки поставок программного обеспечения, энергетические и инженерные организации в США, Европе, Азии и на Ближнем Востоке. Финансовые учреждения и известные юридические фирмы также стали целью преступников.
Троян для удаленного доступа Kwampirs создает на взломанных компьютерах бэкдор, позволяя злоумышленникам получить удаленный доступ к оборудованию и похитить конфиденциальные данные. Хоть он и не содержит компоненты вайпера или разрушительного модуля, его код имеет сходство с вайпером Shamoon (DistTrack).
«Операторы Kwampirs получили доступ к большому количеству систем в больницах по всему миру через цепочку поставок программного обеспечения и аппаратных продуктов, используемых для управления АСУ ТП в больницах», — сообщило бюро.
Сначала злоумышленники устанавливают постоянный доступ к целевой сети, обеспечивая возможность развертывания и выполнения полезных нагрузок. Затем они загружают дополнительные компоненты и полезные нагрузки Kwampirs для эксплуатации зараженных хостов. Из скомпрометированных сетей злоумышленники извлекают информацию о первичных и вторичных контроллерах домена, инженерных серверах, используемых для разработки и тестирования продуктов и инструментов АСУ ТП, серверах разработки программного обеспечения, хранящих исходные коды ПО, и файловых серверах, используемых в качестве общих хранилищ для исследований и разработок.
Напомним, в 2018 году киберперступная группировка Orangeworm заразила вредоносом Kwampirs компьютеры, использующие программное обеспечение для управления высокотехнологичными устройствами обработки изображений, такими как рентгеновские и МРТ-аппараты, а также устройства, предназначенные для оказания помощи пациентам в заполнении форм согласия.