Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Знай своего противника: HC3 делится подробностями о китайских группах APT, нацеленных на сектор здравоохранения
Размещено Стивом Алдером, 24 августа 2023 г.
Индустрия здравоохранения активно подвергается нападкам финансово мотивированных банд киберпреступников; однако спонсируемые государством хакерские группы также ищут доступ к сетям здравоохранения и активно атакуют поставщиков медицинских услуг и другие организации в сфере здравоохранения и общественного здравоохранения.
В недавно опубликованных рекомендациях по безопасности Координационный центр кибербезопасности сектора здравоохранения (HC3) представляет профиль угроз некоторых наиболее способных китайских хакерских групп, которые, как известно, нацелены на организации здравоохранения США. Хотя известно, что по крайней мере одна хакерская группа, спонсируемая китайским государством, проводит кибератаки с целью получения финансовой выгоды, большинство групп проводят атаки в шпионских целях и для получения интеллектуальной собственности (ИС), представляющей интерес для правительства Китайской Народной Республики, например, связанных с интеллектуальной собственностью. медицинской технике и медицине. Например, во время пандемии китайские хакеры атаковали фармацевтические фирмы, пытаясь получить данные об исследованиях вакцины против COVID-19.
Одна из наиболее активных групп угроз известна как APT41 (также BARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella и Double Dragon). Группа действует как минимум с 2007 года и, как известно, нацелена на организации здравоохранения США, чаще всего с целью получения интеллектуальной собственности для передачи китайскому правительству, которое использует технологию для вывода ее на рынок. Группа также занимается шпионажем и цифровым вымогательством и, как известно, проводит финансово мотивированные кибератаки, хотя эти операции могут осуществляться ради личной выгоды, а не по запросу китайского правительства. APT41 агрессивно использует известные уязвимости, часто в течение нескольких часов после публичного раскрытия, как это было в случае с уязвимостями ProxyLogon и Log4J. После получения первоначального доступа группа перемещается по сетям и устанавливает постоянный доступ, часто оставаясь в сетях незамеченными в течение длительного времени, пока интересующие данные не будут удалены. Группа обладает обширным арсеналом вредоносного ПО и использует в своих атаках известные инструменты безопасности, такие как адаптированные версии Cobalt Strike, Acunetix, Nmap, JexBoss и Sqlmap.
APT10 (также известная как Menupass Team, Stone Panda, Red Apollo, Cicada, CVNX, HOGFISH и Cloud Hopper) занимается кибершпионажем и кибервойной и фокусируется на военных и разведывательных данных. Известно, что группа использует уязвимости нулевого дня для получения доступа к интересующим сетям и использует различные собственные и общедоступные инструменты для достижения своих целей. APT10 проводит узконаправленные атаки, причем первоначальный доступ часто достигается посредством целевого фишинга. Также известно, что группа нацелена на поставщиков управляемых услуг (MSP) с целью атаковать их нижестоящих клиентов. Группа часто применяет тактику «живой жизни на земле», используя инструменты, уже установленные в среде жертв.
Пожалуйста, введите правильный адрес электронной почты
Ваша конфиденциальность уважаема
Политика конфиденциальности журнала HIPAA
APT18 (также известная как Wekby, TA-428, TG-0416, Scandium и Dynamite Panda) — малоизвестная группа APT, которая, как полагают, тесно сотрудничает с китайскими военными и часто нацелена на правозащитные группы, правительства и ряд секторов, включая фармацевтические и биотехнологические фирмы. Известно, что группа разрабатывает собственные эксплойты нулевого дня, а также адаптирует эксплойты других для удовлетворения своих операционных потребностей и использует сложные вредоносные программы, такие как Gh0st RAT, HTTPBrowser, pisloader и PoisonIvy. Предполагается, что APT18 стоит за атакой на поставщика медицинских услуг в 2014 году, в ходе которой были украдены данные 4,5 миллионов пациентов. Предполагается, что группа воспользовалась уязвимостью OpenSSL Heartbleed для получения доступа к сети.
APT22 (также известная как «Бариста», «Группа 46» и «Suckfly»), судя по всему, нацелена на борьбу с политическими организациями и сектором здравоохранения, особенно с биомедицинскими и фармацевтическими фирмами. Известно, что группа выявляет уязвимые общедоступные веб-серверы в сетях жертв и загружает веб-шеллы, а также использует сложные вредоносные программы, такие как PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF и LOGJAM.