Un maliciel de porte dérobée s’attaque aux systèmes médicaux

C’était il y a cinq ans : le ministère américain de la Santé, la Food and Drug Administration (FDA), lançait un appel aux fabricants d’équipements médicaux et aux administrateurs des réseaux informatiques hospitaliers. Dans celui-ci, la FDA recommandait la mise en place de mesures nécessaires « pour réduire le risque de défaillance liée à une attaque informatique, qui pourrait être lancée par l’introduction de logiciels malveillants dans les équipements médicaux, ou par l’accès non autorisé aux réglages d’équipements médicaux et de réseaux hospitaliers ». Elle ne semble pas avoir été pleinement entendue, même s’il est difficile de dire que le temps a manqué.

De fait, Symantec indique avoir observé le groupe Orangeworm, identifié pour la première fois en janvier 2015, installant le maliciel de porte dérobée Kwampirs sur les systèmes « de grandes multinationales opérant dans le secteur de la santé aux Etats-Unis, en Europe et en Asie ».

En fait, ce secteur d’activité représente 39 % des cibles connues d’un groupe décrit comme spécialiste des attaques ciblées. Symantec estime que l’espionnage pourrait être à sa motivation même s’il reconnaît que ses objectifs exacts « ne sont pas clairs ».

L’éditeur indique que le maliciel Kwampirs a là été trouvé « sur des machines où des logiciels dédiés à l’utilisation et au contrôle de systèmes d’imagerie étaient installés », par rayons X ou résonnance magnétique (IRM). En outre, relève Symantec, Orangeworm a fait la démonstration d’un « intérêt pour les machines utilisées pour assister les patients dans le remplissage des formulaires de consentement liés à interventions requises ».

Connu depuis août 2016, Kwampirs permet la prise de contrôle à distance des équipements infectés. Selon Symantec, il n’a été utilisé, jusqu’ici et dans la mesure ce qui est connu, que pour collecter des données sur les réseaux il a pu s’immiscer. Comme lors de ses premières observations, il y a près de deux ans, le maliciel se propage de manière « assez agressive », par réplication sur les partages réseau. Ses mécanismes de communication avec les serveurs de commande et de contrôle seraient en outre assez peu furtifs.

L’éditeur indique que ses données de télémétrie montrent une prévalence des infections aux Etats-Unis. Mais des observations ont été eu lieu en Inde, en Allemagne, au Royaume-Uni, en Pologne ou encore en Suède. La France compte pour 2 % des relevés.

Début 2017, la FDA avait complété ses recommandations de 2013 sur fond de préoccupation croissante face au risque de piratage des systèmes médicaux connectés. Ce message survenait quelques mois après une multiplication des épisodes de blocage par ransomware dans des hôpitaux du monde entier.