Het grootste deel van de aanvallen (17 procent) vindt plaats in de VS, maar ook landen als Nederland, Duitsland en het Verenigd Koninkrijk zijn slachtoffer van het collectief. Volgens Symantec is er niet met grof hagel op willekeurige slachtoffers geschoten, maar kiezen de aanvallers systematisch voor specifieke doelen, met name in de gezondheidszorg.

Via toeleveranciers

De groep, die de naam Orangeworm heeft gekregen van het beveiligingsbedrijf, opereert al langer via toeleverancier-aanvallen. Daarbij wordt software die wordt aangeleverd aan bijvoorbeeld een ziekenhuis al bij de producent voorzien van malware, zodat legitieme software voorzien is van een backdoor of andere malafide componenten.

Lees ook: Hoe legitieme software plots een groot gevaar wordt

In dit geval richten de aanvallers zich op high-end beeldapparatuur, bijvoorbeeld r├Ântgenapparaten of MRI-machines. Symantec trof bij meerdere instanties de backdoormalware Win32/Kwampirs aan. Naast de gezondheidszorg worden ook onder meer transportbedrijven en IT-dienstverleners op de korrel genomen, veelal als dienstverlenende partij voor zorginstituten.

Motief

Het motief voor de aanvallen is niet duidelijk. Symantec vermoedt dat het deels nog om het aftasten van de infrastructuur gaat en dat de daadwerkelijke aanval nog volgt. Het bedrijf heeft een lijst IOC's gepubliceerd ( PDF) om gericht te zoeken naar componenten van de aanval.