SÅRBARE: Røntgenmaskiner, spesielt med gammel programvare, er sårbare for malware-angrep. Foto: ded pixto / Shutterstock / NTB Scanpix
SÅRBARE: Røntgenmaskiner, spesielt med gammel programvare, er sårbare for malware-angrep. Foto: ded pixto / Shutterstock / NTB ScanpixVis mer

Hacker seg inn på røntgen- og MR-maskiner. Også Norge rammet

Ny gruppe pekes ut.

(Dagbladet): En nylig oppdaget gruppe hackere som kaller seg Orangeworm, har den siste tida gjennomført et storstilt angrep hovedsakelig mot helsesektoren i en rekke land. Norge er blant landene som er rammet, skriver nettsikkerhetsselskapet Symantec i en rapport.

Gruppen angriper alle slags datamaskiner i helsesektoren, inkludert dem som kontrollerer røntgen- og MR-maskiner, samt maskiner som behandler pasientdata. Ved hjelp av spionprogrammet (malwaren) kalt Trojan.Kwampir får de adgang til de angrepne maskinene gjennom ei «bakdør».

NORGE RAMMET: USA er det klart mest rammede landet, men en rekke andre land, som Norge og Sverige, er også blitt angrepet. Grafikk: Symantec
NORGE RAMMET: USA er det klart mest rammede landet, men en rekke andre land, som Norge og Sverige, er også blitt angrepet. Grafikk: Symantec Vis mer

Så langt tyder ingenting på at hackerne ønsker å manipulere de medisinske maskinenes funksjon. Isteden virker det som om bedriftshemmeligheter og kanskje persondata er målet.

Kjent for norske myndigheter

Kommunikasjonsdirektør Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet (NSM) opplyser at hun ble kjent med rapporten før helga.

- Så langt virker det som Orangeworm driver med helt generell datakriminalitet, og ikke er en særlig avansert aktør, sier Arnøy til Dagbladet.

Hun sier videre at rapporten ikke har sammenheng med det store angrepet mot Helse Sør-Øst tidligere i år.

USA er landet med klart flest angrep, men mange land i Europa og Asia er også rammet; 2 prosent av angrepene har skjedd i både Norge og Sverige. Dette følger av at ofrene for en stor del er store selskap med avdelinger i flere land.

- Vi mener at disse bedriftene også er blitt rammet som ledd i et større angrep mot et distribusjonsnettverk, slik at Orangeworm får tilgang til sine ofre med forbindelse til helsesektoren, står det i rapporten.

Det går også fram at hackerne ikke har bestrebet seg på ikke å bli oppdaget. Likevel har det tatt tre år å kartlegge gruppens virksomhet. Granskerne tror dette har å gjøre med at mange helseforetak bruker gamle PC-er som sjelden blir oppdatert og/eller ikke bruker antivirusprogrammer.

Spionasje

Symantec opplyser at nesten 40 prosent av de kjente ofrene for hackingen er fra helsesektoren. Hovedformålet synes å være bedriftsspionasje.

HELSE ER HOVEDMÅLET: Helse skiller seg ut som den klart mest rammede sektoren. Grafikk: Symantec
HELSE ER HOVEDMÅLET: Helse skiller seg ut som den klart mest rammede sektoren. Grafikk: Symantec Vis mer

- Kjente ofre omfatter helsebedrifter, legemiddelprodusenter, IT-støttebedrifter i helsesektoren og produsenter av medisinsk utstyr, opplyser nettsikkerhetsselskapet.

Men Orangeworm har vist seg å ha særlig interesse for datamaskiner brukt til å hjelpe pasienter med å fylle ut samtykkeskjema. Den svenske IT-sikkerhetsanalytikeren Leif Nixon tror derfor at personopplysninger kan være av interesse for gruppen.

- Helsesektoren pleier å være et ganske takknemlig må om man vil stjele persondata. Det fins et ganske stort marked for ekte personopplysninger; f.eks. kan opplysningene brukes ved ID-tyveri for å inngå bankavtaler, sier Nixon til Aftonbladet.

Neppe statlig

Symantec tror ikke Orangeworm er en stor gruppe, eller at en stat står bak. Snarere går de ut fra at det dreier seg om en enkeltperson eller liten gruppe.

I tillegg til helsesektoren blir også industri-, IT-, jordbruks- og transportselskaper rammet.

- Disse sektorene virker urelatert til hverandre, men vi har avdekket at de har flere forbindelser til helsesektoren - f.eks. store produsenter av grafiske apparater som selges til helseforetak, står det i rapporten.

Ikke første gang

Dette er ikke første gang helsesektoren i Norge blir angrepet av hackere. I januar kom det fram at et stort antall nordmenns pasientjournaler kan ha blitt stjålet etter et angrep mot Helse Sør-Øst. Saken etterforskes av PST, og hvem som sto bak, er fremdeles ukjent.

IT-ekspert Leif Nixon sier helsesektoren generelt er et lett mål for hackere, mye på grunn av det er tungvint å masseoppdatere programvaren.

- Dette er veldig komplekse systemer og miljøer med utstyr som det ikke går an å sikkerhetsoppdatere på rimelig måte. Kanskje produsenten ikke tillater det, eller kanskje oppdateringer ikke fins lenger. Når man velger å bryte seg inn et sted, om man først får en vei inn, pleier det å være ganske lett å spre seg, sier Nixon til Aftonbladet.