SecAtor

В штатах разразился новый скандал с китайским шпионажем после того, как CISA предупредила об обнаружении бэкдора в устройствах Contec CMS8000, который крал данные пациентов и мог загружать/запускать файлы.

Поставщик Contec - китайская компания, специализирующаяся на технологиях в сфере здравоохранения с широкой линейкой медицинских изделий, включая системы мониторинга состояния пациентов, диагностическое оборудование и лабораторные приборы.

Вредоносное поведение выявили в ходе аудита прошивки Contec CMS8000, который позволил исследователям выявить аномальный сетевой трафик на жестко закодированный внешний IP-адрес, который не был связан не с компанией, а вместо этого вел к университету.

Дальнейшее изукчение привело к бэкдору в прошивке, который мог скрытно загружать и выполнять файлы на устройстве, что позволяло удаленно полностью контролировать мониторы пациентов и эксфильтровывать данные пациентов на жестко закодированный адрес при запуске.

Наименование университета не разглашается, но известно, что IP также жестко закодирован в ПО и другого медицинского оборудования, включая монитор для наблюдения за беременностью от другого производителя медтехники в Китае.

При анализе прошивки специалисты обнаружили, что один из исполняемых файлов устройства «monitor» содержит бэкдор, который выдает ряд команд Linux, включающих сетевой адаптер устройства (eth0), а затем пытается смонтировать удаленный общий ресурс NFS по жестко запрограммированному IP.

Общий ресурс NFS монтируется в /mnt/, и бэкдор рекурсивно копирует файлы из /mnt/ в /opt/bin. Затем продолжает копировать файлы из /opt/bin в папку /opt и, по завершении, демонтирует удаленный общий ресурс NFS.

Обычно Linux хранит установки стороннего ПО в каталоге /opt, а сторонние двоичные файлы - в /opt/bin.

Возможность перезаписывать файлы в /opt/bin обеспечивает мощный примитив для удаленного захвата устройства и удаленного изменения его конфигурации.

Кроме того, использование символических ссылок может предоставить примитив для перезаписи файлов в любом месте файловой системы устройства.

При выполнении функция предоставляет примитив, позволяющий третьей стороне по жестко закодированному IP потенциально получить полный контроль над устройством удаленно.

Хотя CISA не раскрыла, какие функции выполняют эти файлы на устройстве, представители организации заявили, что не обнаружили никакой связи между устройствами и жестко запрограммированным IP-адресом, а только попытки подключиться к нему.

В CISA заявили, что после аудита они пришли к выводу, что это не функция автоматического обновления, а скорее бэкдор, внедренный в прошивку устройства.

В подтверждение того, что это изначально был бэкдор, CISA обнаружила, что устройства также начали отправлять данные пациентов на удаленный IP при запуске устройств.

При этом данные пациентов обычно передаются по сети с использованием протокола Health Level 7 (HL7). Однако эти устройства отправляли данные на удаленный IP через порт 515, который обычно связан с протоколом Line Printer Daemon (LPD).

Передаваемые данные включают в себя имя врача, идентификатор пациента, имя пациента, дату рождения пациента и другую информацию.

После обращения в Contec по поводу бэкдора получить исправления для нейтрализации бэкдора так и не удалось, в связи с чем CISA попросту рекомендовала всем организациям в сфере здравоохранения отключить устройства от сети.

www.group-telegram.com/hk/true_secator.com/6685

6.9K viewsedited  Jan 31 at 14:00

В штатах разразился новый скандал с китайским шпионажем после того, как CISA предупредила об обнаружении бэкдора в устройствах Contec CMS8000, который крал данные пациентов и мог загружать/запускать файлы.

Поставщик Contec - китайская компания, специализирующаяся на технологиях в сфере здравоохранения с широкой линейкой медицинских изделий, включая системы мониторинга состояния пациентов, диагностическое оборудование и лабораторные приборы.

Вредоносное поведение выявили в ходе аудита прошивки Contec CMS8000, который позволил исследователям выявить аномальный сетевой трафик на жестко закодированный внешний IP-адрес, который не был связан не с компанией, а вместо этого вел к университету.

Дальнейшее изукчение привело к бэкдору в прошивке, который мог скрытно загружать и выполнять файлы на устройстве, что позволяло удаленно полностью контролировать мониторы пациентов и эксфильтровывать данные пациентов на жестко закодированный адрес при запуске.

Наименование университета не разглашается, но известно, что IP также жестко закодирован в ПО и другого медицинского оборудования, включая монитор для наблюдения за беременностью от другого производителя медтехники в Китае.

При анализе прошивки специалисты обнаружили, что один из исполняемых файлов устройства «monitor» содержит бэкдор, который выдает ряд команд Linux, включающих сетевой адаптер устройства (eth0), а затем пытается смонтировать удаленный общий ресурс NFS по жестко запрограммированному IP.

Общий ресурс NFS монтируется в /mnt/, и бэкдор рекурсивно копирует файлы из /mnt/ в /opt/bin. Затем продолжает копировать файлы из /opt/bin в папку /opt и, по завершении, демонтирует удаленный общий ресурс NFS.

Обычно Linux хранит установки стороннего ПО в каталоге /opt, а сторонние двоичные файлы - в /opt/bin.

Возможность перезаписывать файлы в /opt/bin обеспечивает мощный примитив для удаленного захвата устройства и удаленного изменения его конфигурации.

Кроме того, использование символических ссылок может предоставить примитив для перезаписи файлов в любом месте файловой системы устройства.

При выполнении функция предоставляет примитив, позволяющий третьей стороне по жестко закодированному IP потенциально получить полный контроль над устройством удаленно.

Хотя CISA не раскрыла, какие функции выполняют эти файлы на устройстве, представители организации заявили, что не обнаружили никакой связи между устройствами и жестко запрограммированным IP-адресом, а только попытки подключиться к нему.

В CISA заявили, что после аудита они пришли к выводу, что это не функция автоматического обновления, а скорее бэкдор, внедренный в прошивку устройства.

В подтверждение того, что это изначально был бэкдор, CISA обнаружила, что устройства также начали отправлять данные пациентов на удаленный IP при запуске устройств.

При этом данные пациентов обычно передаются по сети с использованием протокола Health Level 7 (HL7). Однако эти устройства отправляли данные на удаленный IP через порт 515, который обычно связан с протоколом Line Printer Daemon (LPD).

Передаваемые данные включают в себя имя врача, идентификатор пациента, имя пациента, дату рождения пациента и другую информацию.

После обращения в Contec по поводу бэкдора получить исправления для нейтрализации бэкдора так и не удалось, в связи с чем CISA попросту рекомендовала всем организациям в сфере здравоохранения отключить устройства от сети.

BY SecAtor