Connaissez votre adversaire : HC3 partage les détails des groupes APT chinois ciblant le secteur de la santé
Publié par Steve Alder le 24 août 2023
Le secteur de la santé est activement ciblé par des gangs de cybercriminels motivés par l’argent ; cependant, des groupes de piratage parrainés par l’État cherchent également à accéder aux réseaux de santé et ciblent activement les prestataires de soins de santé et d’autres entités du secteur de la santé et de la santé publique.
Dans un avis de sécurité récemment publié, le Centre de coordination de la cybersécurité du secteur de la santé (HC3) fournit un profil de menace de certains des groupes de piratage chinois les plus compétents connus pour cibler les établissements de santé américains. Bien qu'au moins un groupe de piratage informatique parrainé par l'État chinois soit connu pour mener des cyberattaques à des fins de gain financier, la plupart des groupes mènent des attaques à des fins d'espionnage et pour obtenir des droits de propriété intellectuelle (PI) intéressant le gouvernement de la République populaire de Chine, tels que des droits de propriété intellectuelle liés. à la technologie médicale et à la médecine. Par exemple, des pirates informatiques chinois ont ciblé les sociétés pharmaceutiques pendant la pandémie à la recherche de données de recherche sur le vaccin contre la COVID-19.
L'un des groupes de menace les plus actifs est connu sous le nom d'APT41 (également BARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella et Double Dragon). Le groupe est actif depuis au moins 2007 et est connu pour cibler les organisations de soins de santé américaines, le plus souvent dans le but d'obtenir la propriété intellectuelle à transmettre au gouvernement chinois, qui opérationnalise la technologie pour la commercialiser. Le groupe se livre également à l’espionnage et à l’extorsion numérique et est connu pour mener des cyberattaques à motivation financière, bien que ces opérations puissent être motivées par un gain personnel plutôt qu’à la demande du gouvernement chinois. APT41 exploite de manière agressive les vulnérabilités connues, souvent quelques heures après leur divulgation publique, comme ce fut le cas avec les vulnérabilités ProxyLogon et Log4J. Une fois l'accès initial obtenu, le groupe se déplace latéralement au sein des réseaux et établit un accès persistant, restant souvent dans les réseaux indétectables pendant de longues périodes pendant que les données intéressantes sont exfiltrées. Le groupe dispose d'un vaste arsenal de logiciels malveillants et utilise des outils de sécurité bien connus dans ses attaques, comme une version personnalisée de Cobalt Strike, Acunetix, Nmap, JexBoss et Sqlmap.
APT10 (également connu sous le nom de Menupass Team, Stone Panda, Red Apollo, Cicada, CVNX, HOGFISH et Cloud Hopper) se livre à des activités de cyberespionnage et de cyberguerre et se concentre sur les données militaires et de renseignement. Le groupe est connu pour exploiter les vulnérabilités du jour zéro pour accéder aux réseaux de cibles d'intérêt et utilise une variété d'outils personnalisés et publics pour atteindre ses objectifs. APT10 mène des attaques très ciblées, avec un accès initial souvent obtenu par spear phishing. Le groupe est également connu pour cibler les fournisseurs de services gérés (MSP) afin d'attaquer leurs clients en aval. Le groupe s'engage souvent dans des tactiques de vie sur le terrain, en utilisant des outils déjà installés dans l'environnement des victimes.
Veuillez saisir l'adresse e-mail correcte
Votre vie privée respectée
Politique de confidentialité du journal HIPAA
APT18 (également connu sous les noms de Wekby, TA-428, TG-0416, Scandium et Dynamite Panda) est un groupe APT peu connu qui travaille en étroite collaboration avec l'armée chinoise et cible souvent les groupes de défense des droits humains, les gouvernements et divers de secteurs, y compris les entreprises pharmaceutiques et biotechnologiques. Le groupe est connu pour développer ses propres exploits Zero Day, ainsi que pour adapter les exploits des autres pour répondre à ses besoins opérationnels, et utilise des logiciels malveillants sophistiqués tels que Gh0st RAT, HTTPBrowser, pisloader et PoisonIvy. APT18 serait à l’origine d’une attaque en 2014 contre un prestataire de soins de santé au cours de laquelle les données de 4,5 millions de patients ont été volées. Le groupe aurait exploité la vulnérabilité OpenSSL Heartbleed pour accéder au réseau.
APT22 (également connu sous les noms de Barista, Group 46 et Suckfly) semble se concentrer sur le ciblage des entités politiques et du secteur de la santé, en particulier les entreprises biomédicales et pharmaceutiques. Le groupe est connu pour identifier les serveurs Web publics vulnérables sur les réseaux victimes et télécharger des shells Web, et utilise des logiciels malveillants complexes tels que PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF et LOGJAM.