Le groupe Orangeworm cible le secteur de la santé

    24 avril 2018 - 20:52,
    Tribune - Charles Blanc-Rolin
    InternationalSécuritéE-santé
    Selon un rapport [1] publié par Symantec hier (23 avril), le groupe d’attaquants Orangeworm, responsable de plusieurs attaques ciblées depuis 2015 aurait récemment lancé une attaque ciblée visant spécifiquement le secteur de la santé.

    Même si l’origine du groupe Orangeworm et ses motivations n’ont pas été déterminées avec précisions à ce jour, tout laisse à penser que son but est de dérober des informations de santé aux établissements.

    D’après Symantec, près de 40 % des victimes de cette attaque seraient des établissements de santé. Les autres secteurs victimes de cette attaque seraient tous en lien avec le secteur de la santé (éditeurs de logiciels, industrie pharmaceutique, constructeurs de dispositifs médicaux...).

    orangeworm_sectors

    La méthode de compromission initiale n’est pas évoquée dans le rapport, mais une variante du cheval de Troie Kwampirs [2] découvert en 2016, aurait été utilisée pour permettre l’établissement de connexions entre les machines compromises et les serveurs de commandes et de contrôle des attaquants.

    Après une première collecte d’informations, les attaquants déterminent si la machine victime est intéressante ou non. Si la victime semble intéressante, il est ensuite propagé comme un vers dans le système d’informations, notamment à l’aide des partages réseau qu’il aurait pu trouver.

    Afin de rester le plus discret possible, Kwampirs n’utilise pas d’outils tiers connus, mais uniquement des commandes intégrées au système Windows pour scanner le réseau.

    Pour échapper à la détection par signatures des antivirus, il insère une chaîne de caractères aléatoires dans la DLL servant de charge utile.

    dll

    Afin de conserver un accès persistant sur les machines infectées, un service baptiséWmiApSrvEx qui se lance automatiquement au démarrage est installé.

    service

    Même si les États-Unis semble être le pays dénombrant le plus de victimes (17%), de nombreux pays d’Asie et d’Europe, et notamment la France (2%) ont également été touchés.

    orangeworm_pays


    Le logiciel malveillant a été retrouvé sur des dispositifs médicaux, tels que des appareils d’imagerie médicale (radiographie, IRM), ainsi que sur des machines destinées à aider les patients à remplir des formulaires de consentement.

    Symantec donne quelques indicateurs de compromissions [3], tels que les adresses IP des serveurs C2 utilisés par les attaquants :

    Même si à l’heure où j’écris ces quelques lignes, les serveurs semblent injoignables et toutes traces ont l’air d’avoir disparu de Shodan :

    ping

    shodan

    On peut se demander si cette attaque est finie ou si les serveurs sont accessibles que dans des plages horaires restreintes, sont désactivés temporairement pour se faire oublier, d’autres serveurs sont utilisés, le mystère reste entier ?

    Une petite vérification des logs de nos firewalls peut s’avérer pertinente dans un premier temps, et la recherche des indicateurs de compromission dans un second temps peut l’être également en cas de trafic suspect, même si tout le monde sait bien que nos dispositifs médicaux se trouvent tous dans des réseaux isolés qui ne communiquent jamais au grand jamais avec Internet...

    [1] 

    [2] 

    [3] 

    # Antivirus# Piratage informatique# Cyberattaques# Sécurité informatique# Malware# Santé

    Avez-vous apprécié ce contenu ?

    A lire également.

    Illustration Equasens nomme François-Pierre Marquier au poste de Directeur Général Délégué et renforce ainsi sa gouvernance pour accompagner ses ambitions de croissance

    Equasens nomme François-Pierre Marquier au poste de Directeur Général Délégué et renforce ainsi sa gouvernance pour accompagner ses ambitions de croissance

    02 avril 2026 - 15:47,

    Communiqué

    - Le groupe Equasens

    Le groupe Equasens annonce la nomination de François-Pierre Marquier au poste de Directeur Général Délégué. Il rejoint à ce titre l’équipe de direction aux côtés de Denis Supplisson, Directeur Général, et de Grégoire de Rotalier, Directeur Général Délégué et directeur de la Division Établissements d...

    Illustration Premier avis favorable au remboursement d’une thérapie numérique

    Premier avis favorable au remboursement d’une thérapie numérique

    02 avril 2026 - 11:19,

    Communiqué

    - Haute Autorité de santé

    La Commission nationale d’évaluation des dispositifs médicaux et des technologies de santé (CNEDiMTS) de la Haute Autorité de santé (HAS) vient de rendre un avis favorable au remboursement en droit commun d’un dispositif médical numérique à visée thérapeutique (thérapie numérique ou DTx). Pour la pr...

    Illustration SantExpo 2026 : data, interopérabilité, cybersécurité… les SI de santé à l’épreuve des usages

    SantExpo 2026 : data, interopérabilité, cybersécurité… les SI de santé à l’épreuve des usages

    02 avril 2026 - 09:36,

    Communiqué

    - SantExpo 2026

    Alors que les établissements de santé et médico-sociaux accélèrent leur transformation numérique, les systèmes d’information entrent dans une phase décisive : celle des usages. Interopérabilité, qualité de la donnée, cybersécurité, souveraineté et déploiement de l’IA structurent désormais les priori...

    Illustration Comment obtenir l’unanimité sur le choix d’un DPI commun, l’exemple du GHT du Var

    Comment obtenir l’unanimité sur le choix d’un DPI commun, l’exemple du GHT du Var

    31 mars 2026 - 08:42,

    Actualité

    - Pierre Derrouch, DSIH

    Au GHT du Var, la convergence des systèmes d’information franchit une nouvelle étape, avec l’officialisation fin janvier 2026 d’un DPI commun pour ses sept établissements. C’est la fin du support d’un DPI utilisé en psychiatrie qui a constitué le déclencheur. La contrainte technique a été transformé...

    Lettre d'information.

    Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

    Inscrivez-vous à notre lettre d’information hebdomadaire.

    A propos

    Nous suivre

    Contact

    Abonnement

    DSIH Magazine

    Nos marques

    Logo DSIHLogo Thema Radiologie