image

Malware besmet systemen die röntgen- en MRI-scanners bedienen

dinsdag 24 april 2018, 11:33 door Redactie, 22 reacties

Onderzoekers van anti-virusbedrijf Symantec hebben op systemen die röntgen- en MRI-scanners bedienen malware gevonden. Dat laat de virusbestrijder in een analyse weten. De malware is afkomstig van een groep die zorgverleners, farmaceutische bedrijven en it-providers voor de gezondheidsindustrie aanvalt.

Ook logistieke en productiebedrijven zijn het doelwit van deze groep die door Symantec "Orangeworm" wordt genoemd, maar de gezondheidsindustrie is het primaire doelwit. Veertig procent van de aangevallen organisaties valt in deze sector. De malware die de groep gebruikt is aangetroffen op systemen die röntgen- en MRI-scanners bedienen. Daarnaast heeft de groep het ook voorzien om machines die patiënten helpen bij het invullen van toestemmingsformulieren voor medische procedures.

De precieze motieven van de groep zijn volgens Symantec onduidelijk, maar mogelijk gaat het om bedrijfsspionage. Het grootste aantal slachtoffers van de groep werd in de Verenigde Staten geteld, gevolgd door India en Saudi-Arabië. Twee procent van de slachtoffers werd in Nederland aangetroffen. Exacte details over hoe de aanvallers te werk gaan en systemen in eerste instantie weten te infecteren worden niet in de analyse gegeven.

Wel stellen de onderzoekers dat de aanvallers gericht te werk gaan en eerst uitzoeken of een besmette machine voldoende waarde heeft. Vervolgens worden gedeelde netwerkmappen gebruikt om andere systemen te besmetten. "Hoewel deze methode gedateerd is, is het nog steeds effectief in omgevingen die oudere besturingssystemen zoals Windows XP gebruiken", aldus de onderzoekers. Doordat Windows XP in de gezondheidsindustrie nog steeds relatief veel wordt gebruikt hebben de aanvallen daar dan ook effect. Wie er achter de malware zit kan Symantec niet zeggen, maar het bedrijf vermoedt niet dat het om een "statelijke actor" gaat.

Reacties (22)
24-04-2018, 11:36 door Anoniem
Tsja, gebruik dan ook geen windows voor je embedded spullen en controllers voor grote apparaten.

Gebruik in het geheel geen windows, nog beter.
24-04-2018, 12:26 door Krakatau
Daar heb je de ellende al :-(
24-04-2018, 12:46 door karma4
Door Krakatau: Daar heb je de ellende al :-(
XP Slecht beheer zeker daar in de Verenigde Staten en Saudi-Arabië. Als het maar werkt toch. Open zetten voor alles is wel zo makkelijk. Ooit van netwerksegmentatie gehoord? Als je de verantwoordelijk als CEO ontkend en als iets technisch wegzet .https://www.computable.nl/artikel/achtergrond/zorg/6340610/1444691/maak-zorgdirecties-verantwoordelijk-voor-data.html Tja hobbyisme kent op die manier geen grenzen.
Meer serieus: Het is meer de leveranciers vrijheid zonder gedegen controle en toezicht met als het maar gratis is en snel afgeleverd wordt..
24-04-2018, 13:13 door Anoniem
Door Krakatau: Daar heb je de ellende al :-(
Facebook wil als eerste de diagnose op je tijdlijn delen?
24-04-2018, 13:28 door Krakatau
Door karma4:
Door Krakatau: Daar heb je de ellende al :-(
...
Meer serieus: Het is meer de leveranciers vrijheid zonder gedegen controle en toezicht met als het maar gratis is en snel afgeleverd wordt..

Gratis? Een MRI-scanner kost tussen de 1 en 10 miljoen euro... De prijs van een röntgenscanner is ook niet mals te noemen. En gebrek aan gedegen controle en toezicht op medische apparatuur? Ook niet erg waarschijnlijk.
24-04-2018, 13:29 door Krakatau
Door Anoniem:
Door Krakatau: Daar heb je de ellende al :-(
Facebook wil als eerste de diagnose op je tijdlijn delen?

Waar staat dat?
24-04-2018, 14:54 door Anoniem
L.S.

Windows platform wordt door deze Orangeworm Hacker-groep via een backdoor van de kwampirs trojaan besmet,
die de overige malware bestanden inlaadt.

Grappig dat de groep naar een fruit-snuitmotje heet.

Opvallend is verder dat iedereen zo'n beetje besmet raakt buiten de Russische Federatie om.

Gezien de blokkades, die Rusland als repressaile neemt/wil nemen tegen het "westen" in de medische sector.
komt het misschien wel daar vandaan.

Ook vervuilen hackgroepen nooit hun eigen achtertuin,
vanwege gemaakte afspraken met de overheid en mogelijk detectiegevaar.

Een hacker schijt dus nooit in eigen bed. ;)

luntrus
24-04-2018, 15:08 door Anoniem
Door Krakatau:
Door karma4:
Door Krakatau: Daar heb je de ellende al :-(
...
Meer serieus: Het is meer de leveranciers vrijheid zonder gedegen controle en toezicht met als het maar gratis is en snel afgeleverd wordt..

Gratis? Een MRI-scanner kost tussen de 1 en 10 miljoen euro... De prijs van een röntgenscanner is ook niet mals te noemen. En gebrek aan gedegen controle en toezicht op medische apparatuur? Ook niet erg waarschijnlijk.

karma4 klimt natuurlijk weer op een stokpaardje, zonder te kijken of het paardje hoort bij het probleem waar hij op reageert .
(natuurlijk is 'moet snel en goedkoop' vaak een terecht verwijt voor problemen, alleen hier is dat niet zo waarschijnlijk ).

Ik denk dat wat hier haaks op elkaar staat 'support/garantie/certificering voor erg dure medische appliances' en 'actief IT security beheer' .

Certificering en QA hangen normaal aan een vaste configuratie, en ook voor support e.d. geldt dat je daarin verantwoordelijkheden uitsluit wanneer de eindgebruiker van alles heeft zitten herconfigureren.

En het vervelende van het installeren van security hotfixes, virus/malware scanners is dat die het systeem op laag niveau wijzigen en daarbij met enige regelmaat merkbaar het gedrag van het systeem veranderen.

Ik kan dus heel goed begrijpen dat de computer die deel uitmaakt van de scanner heel hard onder het beleid 'afblijven - alleen installeren wat de leverancier garandeert' moet vallen .

En uiteindelijk moet er toch een koppeling zijn om de resultaten van de scanners op het scherm van de arts te krijgen.

Ik denk dat het beste dat de IT staf van een ziekenhuis kan doen is bij oplevering heel erg strak zitten op het dichttimmeren van het koppelvlak, en er iets als een staging/filter server voor hebben waar alle scans op terecht komen die wel 'normaal' beheerd kan worden.

(ik wil graag zeggen dat Linux een betere keuze zou zijn, en waarschijnlijk is het dat ook wel, maar een bevroren Redhat 4 installatie met een oude Tomcat (ofzo - de ontwikkeltrajecten van dat soort apparatuur loopt lang) is ook een zorgpunt in je IT landschap.)
24-04-2018, 15:21 door karma4
Door Krakatau: Gratis? Een MRI-scanner kost tussen de 1 en 10 miljoen euro... De prijs van een röntgenscanner is ook niet mals te noemen. En gebrek aan gedegen controle en toezicht op medische apparatuur? Ook niet erg waarschijnlijk.
Je moet naar het beheer bij ziekenhuizen en zorg kijken. De aanschaf is een onderling iets van oldboys netwerk op de golfbaan. Ooit gezien en nageplozen wat een ICT specialist bij ziekenhuizen zorg doet?
Nen7510 wordt als te lastig gevonden zie eerdere link comutable met de overtuiging van de top Zorg dat het maar een ICT technische verhaal is niets voor strategie en beleid. en de zich herhalende rapporten zoals https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2016/12/01/onderzoek-naar-de-beveiliging-van-patientgegevens/onderzoek-naar-de-beveiliging-van-patientgegevens.pdf
Als de overheid het om de zoveel jaar telkens weer uitspreekt dat het niet op orde is, onderzoeksrapport en er zo te zien niet niets verbeterd. Zeer waarschijnlijk dat het toezicht niet op orde is.
24-04-2018, 15:38 door Anoniem
@karma4,

Daarom gaan die hackersgroepen er naar op zoek, omdat ze weten dat security de zaakjes daar niet op orde heeft.

Men gaat immers steeds eerst voor het "laaghangend" fruit.

De "overhead"op de zorg brengt de problemen, dat waar karma4 op doelt met zijn "old boys network" ter winstoptimalisatie en het tevreden houden van de aandeelhouders (ja ook tegenwoordig bij de overheidsburo's).

In elke tent zou een security pitbull actief moeten zijn, die dit soort lieden via een hoofd-CEO erg weinig ruimte geeft en kort aan de leiband houdt. Veilig werken is namelijk nog profijtelijker, dat moet alleen maar als duidelijke "benefit" op het netvlies komen van betrokkenen.

Dit alles echter tenzij je de tent helemaal niets interesseert en je alleen maar gaat voor het halen van je scope en of de tent daarmee ten onder wordt geholpen je ook niets meer uitmaakt, dit zijn amorele, psychopatische egocentrice rekenaars. Helaas zijn die oververtegenwoordigd in de hogere regionen van de besluitstructuur.

Jodocus Oyevaer
24-04-2018, 17:18 door karma4
Door Anoniem: @karma4,
Daarom gaan die hackersgroepen er naar op zoek, omdat ze weten dat security de zaakjes daar niet op orde heeft.
Men gaat immers steeds eerst voor het "laaghangend" fruit.
...
Helaas zijn die oververtegenwoordigd in de hogere regionen van de besluitstructuur.
Jodocus Oyevaer
Natuurlijk, ja eens je hebt gelijk. Nu nog ergens die cirkels zien te doorbreken.
24-04-2018, 18:00 door Anoniem
Niet moeilijk om in een ziekenhuis in te breken op het netwerk je kunt immers overal fysiek bij.
24-04-2018, 19:23 door Anoniem
Door Anoniem:
Door Krakatau: Daar heb je de ellende al :-(
Facebook wil als eerste de diagnose op je tijdlijn delen?

het zal mij niet verbazen als ze op basis van histore gegevens ge-extrapoleerd vanaf je medische patienten dossier ook nog een DEADLINE plaatsen om zo een punt te zetten achter je profiel/leven. :-) whahahahaha
24-04-2018, 23:12 door Anoniem
Vroeger waren het personen die röntgen- en MRI-scanners bedienden. Geen voor malware vatbare systemen. Maar ja wie geeft er tegenwoordig nog om betrouwbaarheid en veiligheid...
25-04-2018, 09:45 door Anoniem
Door Anoniem: Certificering en QA hangen normaal aan een vaste configuratie, en ook voor support e.d. geldt dat je daarin verantwoordelijkheden uitsluit wanneer de eindgebruiker van alles heeft zitten herconfigureren.

En het vervelende van het installeren van security hotfixes, virus/malware scanners is dat die het systeem op laag niveau wijzigen en daarbij met enige regelmaat merkbaar het gedrag van het systeem veranderen.

Ik kan dus heel goed begrijpen dat de computer die deel uitmaakt van de scanner heel hard onder het beleid 'afblijven - alleen installeren wat de leverancier garandeert' moet vallen .
Het probleem met die redenatie is dat die over het hoofd ziet dat een malware-infectie net zo goed een aanpassing van de configuratie is. Bij de eerste de beste malwarebesmetting heb je iets anders dan het systeem dat gecertificeerd is. Je kan dan politieke spelletjes gaan spelen over wie daar precies verantwoordelijk voor is, maar doet niets af aan het feit dat het systeem niet meer in de gecertificeerde staat is.
25-04-2018, 13:45 door Anoniem
Door Anoniem:
Door Anoniem: Certificering en QA hangen normaal aan een vaste configuratie, en ook voor support e.d. geldt dat je daarin verantwoordelijkheden uitsluit wanneer de eindgebruiker van alles heeft zitten herconfigureren.

En het vervelende van het installeren van security hotfixes, virus/malware scanners is dat die het systeem op laag niveau wijzigen en daarbij met enige regelmaat merkbaar het gedrag van het systeem veranderen.

Ik kan dus heel goed begrijpen dat de computer die deel uitmaakt van de scanner heel hard onder het beleid 'afblijven - alleen installeren wat de leverancier garandeert' moet vallen .
Het probleem met die redenatie is dat die over het hoofd ziet dat een malware-infectie net zo goed een aanpassing van de configuratie is. Bij de eerste de beste malwarebesmetting heb je iets anders dan het systeem dat gecertificeerd is. Je kan dan politieke spelletjes gaan spelen over wie daar precies verantwoordelijk voor is, maar doet niets af aan het feit dat het systeem niet meer in de gecertificeerde staat is.

Inderdaad, een device waarvan de controller geinfecteerd is is óók niet meer betrouwbaar .
Like Duh. Die moet je dan zeker uit dienst nemen en laten herstellen.
(of wanneer Sjon de conciergie het nodig leek om even wat WD40 erin te spuiten tegen de herrie.)

Maar wou je er verder een conclusie uit trekken ?
25-04-2018, 13:56 door Anoniem
Door Anoniem: Vroeger waren het personen die röntgen- en MRI-scanners bedienden. Geen voor malware vatbare systemen. Maar ja wie geeft er tegenwoordig nog om betrouwbaarheid en veiligheid...

Je weet zeker niet hoe waanzinnig veel computer werk er nodig is om uit het MRI signaal een plaatje te maken ?
Die witte jas die op de console wat scan parameters kiest zit gewoon een stevige computer te bedienen hoor .

De tandarts-Röntgen belicht nog heel analoog, maar de ziekenhuis Röntgens van de laatste aantal _decennia_ doen heel veel rekenwerk om van de sensor-data een bruikbaar beeld te maken . Dat geldt nog meer bij de CT scan (3D, die van een serie van 2D dichtheids informatie een 3D beeld opbouwt ) .

Misschien dat de computer in het device in vroeger tijden Solaris draaide, of VXworks , of een combinatie , maar de tijd dat je met Röntgen direct een fotonegatief belicht en na ontwikkelen op een lichtbak hangt is ontzettend lang geleden.
25-04-2018, 15:53 door Anoniem
Door Anoniem: Inderdaad, een device waarvan de controller geinfecteerd is is óók niet meer betrouwbaar .
Like Duh. Die moet je dan zeker uit dienst nemen en laten herstellen.
(of wanneer Sjon de conciergie het nodig leek om even wat WD40 erin te spuiten tegen de herrie.)

Maar wou je er verder een conclusie uit trekken ?
Dat "afblijven - alleen installeren wat de leverancier garandeert" als beleid niet deugt. Zowel de leverancier als de gebruiker van het apparaat steken hun kop in het zand als ze malware als risico niet serieus nemen, en bij het certificeren van besturingsystemen voor algemeen gebruik voor dergelijke kritische toepassingen zet ik ook mijn vraagtekens als die niet veilig te houden zijn.
25-04-2018, 16:05 door Anoniem
Door Anoniem: Tsja, gebruik dan ook geen windows voor je embedded spullen en controllers voor grote apparaten.

Gebruik in het geheel geen windows, nog beter.

Vaak is de de werking door de fabrikant van dit soort systemen alleen gegarandeerd bij een specifieke configuratie. Het gaat dan om hardware en software in een enkele combinatie. Zelfs het insteken van een extra USB-stick is niet toegestaan en leidt tot hercertificering. Je kunt je OS flamewar dus even laten rusten en ruimte maken voor de realiteit.

Sowieso is het kinderlijk naïef om te denken dat jouw smaak OS immuun is voor aanvallen van gemotiveerde partijen, en dat is waar het hier om draait.
25-04-2018, 21:23 door Krakatau
Door Anoniem: Misschien dat de computer in het device in vroeger tijden Solaris draaide, of VXworks , of een combinatie , maar de tijd dat je met Röntgen direct een fotonegatief belicht en na ontwikkelen op een lichtbak hangt is ontzettend lang geleden.

Solaris is misschien enigszins achterhaald, echter VxWorks is dat zeker niet! VxWorks is de de facto standaard voor toepassingen die een real-time OS vereisen. Suggestieve uitlatingen om dat een 'ouderwets' smaakje te geven raken kant noch wal!

https://www.windriver.com/products/vxworks/
25-04-2018, 23:54 door Anoniem
Door Krakatau:
Door Anoniem: Misschien dat de computer in het device in vroeger tijden Solaris draaide, of VXworks , of een combinatie , maar de tijd dat je met Röntgen direct een fotonegatief belicht en na ontwikkelen op een lichtbak hangt is ontzettend lang geleden.

Solaris is misschien enigszins achterhaald, echter VxWorks is dat zeker niet! VxWorks is de de facto standaard voor toepassingen die een real-time OS vereisen. Suggestieve uitlatingen om dat een 'ouderwets' smaakje te geven raken kant noch wal!

https://www.windriver.com/products/vxworks/

_Gegeven_ het onderwerp - malware op Windows XP is het in elk geval zo dat er een serie van medische devices is waar Windows XP op draait. Volledig, of misschien alleen het front end .
(Goed mogelijk dat de hardware aansturing, en bediening verschillend systemen zijn - Dat is overigens geen reden om gerust te zijn als 'slechts' de frontend geinfecteerd is - als je niet kunt vertrouwen dat de parameters die je op de console kiest ook onveranderd aan de controller gegeven worden is het apparaat beslist niet OK)

Maar VxWorks zit toch echt in een heel erg krimpend domein - ze hebben ongetwijfeld nog een forse installed base, met een hoop inertie, en een paar niches, maar zitten klem tussen FPGAs (+generiek OS) en embedded Linux (Linux met PREEMPT RT ).
28-04-2018, 11:27 door Anoniem
Eigen schuld dikke bult. De laatste scanners komen nu met Windows 7 embedded.
Men vergeet dat er jaren aan certificeringen nodig zijn om een apparaat op de markt te krijgen.
En dan heb je inmiddels alweer een nieuw os op de markt. Beetje een kip ei verhaal....

Het is eigenlijk schrikbarend dat dit kan. Veel apparatuur werkt (moet werken) nog met Xp.
De zorg kan dat aanpakken maar ja dat is dan weer te duur. En het draait in die wereld alleen maar om de pegels helaas.
Immers bepalen de zorgverzekeraars wat de quota per dag is voor een afdeling.

Sterker nog de meeste raadpleeg software toont de hele string in de url...
Zo een inkoppertje.....maar het moet eerst maar weer eens mis gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.