براساس گزارش جدید منتشر شده توسط Symantec ، گروه هکرهای Orangeworm از اوایل سال ۲۰۱۵ فعال بوده و سیستمهای شرکتهای بزرگ بین المللی مستقر در ایالات متحده، اروپا و آسیا را هدف قرار داده است و تمرکز اصلی آنها نفوذ بر بخش مراقبتهای بهداشتی است.
Orangeworm پس از وارد شدن به شبکه قربانی، مهاجمان یک تروجان را به نام Kwampirs را بر روی سرور مورد نظر نصب میکنند و این امکان را به این گروه هکری میدهد اجازه می دهد تا از راه دور دسترسی به تجهیزات را فراهم کند و سرقت اطلاعات حساس را انجام دهند.
تروجان Kwampirs اطلاعاتی راجع به رایانهی هدف جمع آوری میکند و برای مهاجمین کنترل از راه دور میفرستد، با استفاده از این اطلاعات گروه هکری تعیین میکند که آیا سیستم هک شده یک هدف با ارزش است، اگر بدین صورت باشد، بدافزار پس از آن “به شدت” خود را در میان پورتهای شبکه پخش میکند تا دیگر کامپیوترهای موجود در همان سازمان آلوده شود.
لیستی که در زیر مشاهده میکنید مجموعه دستوراتی میباشد که به مهاجمان کمک میکند تا اطلاعات را از جمله “هرگونه اطلاعات مربوط به، اطلاعات آداپتور شبکه، اشتراکهای شبکه در دسترس، درایوهای نقشه برداری شده و فایلهای موجود در رایانههای شبکه” را سرقت کند.
علاوه بر ارائه دهندگان مراقبتها و خدمات بهداشتی و شرکتهای دارویی نیز تقریبا ۴۰ درصد از اهداف را تشکیل میدهند،Orangeworm همچنین حملات علیه سایر صنایع از جمله فناوری اطلاعات و بخش تولید، کشاورزی و تدارکات را آغاز کرده است.
اگر چه انگیزه دقیق Orangeworm روشن نیست و هیچ اطلاعاتی در این رابطه وجود ندارد ولی، سیمانتک معتقد است که این گروه احتمالا جاسوسی برای اهداف تجاری را انجام میدهد و هیچ شواهدی وجود ندارد که توسط یک دولت ملی حمایت شود.
سیمانتک گفت: “بر اساس لیست قربانیان شناخته شده،Orangeworm اهداف خود را به صورت تصادفی انتخاب نکرده و در عوض، گروه به نظر میرسد اهداف خود را با دقت و عمدا انتخاب میکند و برنامه ریزی خوبی را قبل از شروع حمله انجام میدهد.”
بالاترین درصد قربانیان این گونه حملات در ایالات متحده و پس از آن عربستان سعودی، هند، فیلیپین، مجارستان، انگلستان، ترکیه، آلمان، لهستان، هنگ کنگ، سوئد، کانادا، فرانسه و چندین کشور دیگر در سراسر جهان شناسایی شده است.
مترجم: مسعود سلطانیان- هکر نیوز
