Die Security-Firma Symantec hat einen Bericht zu einer bislang unbekannten Hackergruppe veröffentlicht: Demnach soll die Gruppe namens "Orangeworm" bereits seit 2015 vorrangig Unternehmen aus dem Gesundheitsbereich und mutmasslich auch Zulieferer etwa aus der Produktion oder der IT-Branche angreifen.

Leidtragende sind hauptsächlich Firmen in den USA. Rund zwei Prozent der Angriffe sind aber laut Symantec in der Schweiz erfolgt. Sowohl die genaue Motivation als auch die Herkunft von "Orangeworm" sind nicht bekannt. Symnatec vermutet Industriespionage ohne staatliche Unterstützung.

Die Kriminellen planen ihre gezielten Attacken laut Symantec jeweils relativ aufwendig. Sie infiltrieren Systeme und setzen den Trojaner "Kwampir" ein, um Daten von den Geräten zu stehlen. Betroffen sind Systeme auf denen Software für die Steuerung etwa von Röntgen- und MRI-Geräten läuft, sowie Devices, die Patienten beim Ausfüllen von Einverständniserklärungen für medizinische Massnahmen unterstützen.

Vorerst schickt die Schadsoftware Basis-Daten an einen C&C-Server. Diese würden vermutlich genutzt, um herauszufinden, ob das betroffene Gerät von einem Wissenschafter oder einem wichtigen Ziel verwendet wird, so Symantec. Ist das Opfer von Interessen, verteilt sich die Malware "aggressiv" als Wurm innerhalb des Netzwerkes.

Die Hacker machten sich keine Mühe, die Aktivitäten der Malware zu verstecken. Dies deute darauf hin, dass bisherige Gegenmassnahmen nicht gegriffen hätten und die Hacker ihr Ziel erreichen würden, auch wenn die Opfer den Schädling entdeckten.

Technische Details und mögliche Gegenmassnahmen finden sich im Blogpost von Symantec. (ts)