의료 및 건강보험 위협 인텔리전스

의료 및 건강보험 산업을 표적으로 하는 사이버 위협

의료 및 건강보험 산업은 다음과 같은 위협 범죄자들이 유발하는 사이버 위협에 직면하고 있습니다.
  • 지능형 지속적 위협(APT)1 그룹은 국내 산업에 이익을 주고, 정부가 전략적 의료 목표를 달성하는 것을 지원할 수 있는 지적 재산과 독점 정보를 유출하는 것을 목표로 합니다.
  • APT 그룹은 환자의 개인 신원 확인 가능 정보(PII)를 추적하고, 표적의 확대를 추진하고, 이 그룹을 후원하는 국가의 정부가 인텔리전스를 수집하는 것을 지원할 가능성이 있습니다.
  • 기업화된 사이버 범죄자 그룹은 개인 신원 확인 가능 정보와 재정 데이터를 이익으로 전환하려고 노력합니다.
  • 핵티비스트들은 정치적 또는 이념적 입장을 밝히거나 조직의 활동에 항의하기 위해 웹사이트에 대한 접근을 교란하고 조직의 웹페이지 외관을 손상하려고 시도합니다.
의료 사이버 위협 인텔리전스
위협 목표 및 산업 전망

의료 및 건강보험 산업은 위협 범죄자들이 귀중한 연구 및 제조 데이터와 수많은 개인 신원 확인 가능 정보 및 다른 민감한 데이터에 접근할 가능성이 있기 때문에 계속 사이버 위협에 직면할 수 있습니다. 저희는 다음의 요인들이 이 부문에 대한 차후의 위협 활동에 영향을 미칠 가능성이 있다고 예상합니다.

  • 의료 건강 기록이 디지털화되고 의료 기기의 상호 연결이 증가함에 따라, 조직의 공격 표면이 확대되어 이 산업이 위협 범죄자들에 대해 더 취약해질 수 있습니다.
  • 기술 및 의료 혁신은 이와 관련된 지적 재산과 독점 정보를 입수하여 국유 또는 국내 회사에 이익을 제공하려고 시도하는 APT 그룹이 위협 활동을 강화할 가능성이 있습니다.
  • 의료 서비스와 제품을 개선하여 의료 비용을 절감하려는 국가들의 노력은 이와 관련된 APT 그룹이 그러한 노력을 지원할 수 있는 인텔리전스를 입수하려고 시도하기 때문에 표적이 증가할 가능성이 높습니다.
  • 의료, 의약 시험 과정, 알려진 윤리 위반 또는 다른 문제들과 관련된 것과 같은 알려진 논란에 개입하는 핵티비스트들은 이러한 문제들에 대해 주의를 환기하고, 책임이 있다고 생각하는 조직들을 당황스럽게 만들려고 시도하여 표적을 확대할 수도 있습니다.
저희는 최소한 13개의 지능형 위협 그룹이 다음의 소부문에서 협회사들을 침해하는 것을 관찰했습니다.
  • 생물학적 제제 및 생물학적 치료제 제조
  • 전자 의료, 전기 요법 및 X-선 장치 제조
  • 건강보험
  • 의료 관리 소프트웨어
  • 의료 제품 제조
  • 병원
  • 의료 장비 및 의료용품 제조
  • 의약 제조
의료 산업에서 유출된 데이터
  • 사업 및 전략 계획과 목표
  • 인사 문서
  • 법률 문서
  • 네트워크 인프라 문서
  • 환자 정보

사례연구: APT 그룹이 건강보험 회사 침해

건강보험회사에 대해 조사하던 중, 저희는 위협 범죄자들이 조직 네트워크 내 시스템에 접근하기 위해 아주 많은 보험 사용자에게 전달되는 스피어 피싱 조합을 사용한 것을 목격했습니다. 메시지는 많은 피싱 메시지와 공통적으로 사용자에게 위장된 악성코드 링크를 제공했습니다. 그 링크는 악성 백도어를 다운로드하여 범죄자들이 보험회사 네트워크 도메인에서 내부로 이동할 수 있도록 암호를 수집할 수 있게 해줍니다. 결과적으로, 위협 범죄자들은 많은 보험 가입자들의 PII에 접근하고 수집하였습니다.


의료 산업을 표적으로 하는 사이버 위협

톱 5 악성코드

FireEye는 위협 범죄자들이 다음과 같은 표적 악성코드군을 사용하여 의료 및 건강보험의 조직들을 침해하는 것을 가장 자주 탐지했습니다.

위치코븐은 사이트 방문자의 운영 체제, 브라우저 및 애플리케이션에 대한 정보를 얻기 위해 설계된 프로파일링 스크립트입니다. APT 범죄자는 이러한 스크립트를 이용하여 컴퓨터 시스템 및 이 시스템이 속한 조직을 프로파일링하기 위해 사용되는 기술 정보를 수집하는 풋프린팅을 시행하는 것으로 보입니다.
XtremeRAT는 공개적으로 사용 가능한 원격 접속 툴(RAT)로 파일을 업로드 및 다운로드하고, 윈도우즈 레지스트리와 대화하고, 프로세스와 서비스를 조작하고, 오디오와 비디오 같은 데이터를 캡처하는 능력이 있습니다.
ChinaChopper는 인증을 위한 단순한 암호를 사용하여 위협 범죄자들이 정보 시스템에 무단 접속할 수 있도록 해주는 작은 웹셸로, HTTP POST 명령 내에서 마이크로소프트 .NET 코드를 실행할 수 있습니다.
Gh0stRat는 공개적으로 사용 가능한 RAT로 소스 코드로부터 추출됩니다. 이 악성코드는 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
PingBed는 다른 작업들 사이에서 파일을 다운로드 및 실행하고, 프로세스를 차단하고, 명령줄을 실행하고 결과를 반환할 수 있는 트로이 목마 바이러스입니다. 저희는 사용자가 파일 이름 및 아이콘이 읽을 수 있는 파일을 나타내는 zip 또는 rar 인터페이스를 열도록 만들어 침입하는 이 바이러스군의 샘플을 여러 개 발견했습니다.

톱 5 크라임웨어

FireEye의 싱크홀과 동적으로 공유하는 위협 데이터는 다음과 같은 크라임웨어 변종들이 의료 및 건강보험 산업에서 가장 흔히 탐지되었다는 것을 보여줍니다.

Conficker는 이동식 드라이브와 네트워크 공유의 취약점을 이용하여 전파되는 웜입니다. 또한 보안 설정을 비활성화하고, 백업 파일을 삭제하고,
시스템 복원 지점을 재설정하는 능력이 있습니다.
POWESSERE(별칭 Powliks)는 윈도우즈 레지스트리 내에 완전히 존재하는 "파일 없는" 악성코드입니다. 종종 Canada Post 또는 USPS 및 마이크로소프트 오피스 익스플로잇 관련 제목으로 피싱 이메일을 통해 시스템에 설치되는 Powessere는 감염된 시스템에 파일을 설치하지 않지만 윈도우즈 레지스트리 내에 완전히 존재합니다. 자동 실행 키에 저장된 인코딩된 자바스크립트를 통해 시작되어 단계별로 실행됩니다. 이 악성코드가 완전히 설치된 후, 메모리에 상주하는 동적 링크 라이브러리는 기본 시스템 정보를 수집하고 추가 악성코드를 다운로드할 수 있습니다.
Jenxcus(별칭 njw0rm, njworm)는 유명한 툴 njRAT의 진화한 버전으로 이동식 드라이브 및 인증 유출을 통해 전파될 수 있는 능력 등 추가 기능을 포함합니다. 종종 이메일의 악성 링크 및 침해된 사이트의 드라이브바이 다운로드를 통해 전달되는 Jenxcus는 RAT의 일반적인 기능과 함께 USB 드라이브와 같은 이동식 드라이브 및 정보 유출을 통해 새로운 시스템에 전파될 수 있는 능력 등 추가 기능을 갖고 있습니다.
HOUDINI(별칭 H-Worm)는 VBS 기반의 원격 접속 툴(RAT)로 HTTP를 사용하여 운영체제와 호스트 및 사용자 이름 같은 침해된 시스템에 대한 정보를 통신합니다. 경우에 따라, VBS 파일은 맞춤형 Base64 인코딩을 포함하여 다층의 난독화로 패킹됩니다. 이 툴은 명령줄 실행, 프로그램의 다운로드 및 실행, 데이터 유출 같은 몇 가지 명령을 지원합니다.
Upatre는 종종 스팸 이메일, 드라이브바이 다운로드 또는 익스플로잇을 통해 침입하는 트로이 목마 바이러스 다운로더이며, Upatre는 감염된 시스템에 하나 이상의 추가 악성코드를 다운로드합니다. Upatre는 Zbot, Dyre, Rovnix, CryptoLocker 및 Necurs를 포함하여 매우 다양한 악성코드를 배포하는 것으로 관찰되었습니다.

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.