# Orangeworm
> [!warning] Espionagem em Dispositivos Médicos - X-Ray e MRI Comprometidos
> O Orangeworm é um grupo de espionagem corporativa que comprometeu **equipamentos médicos de diagnóstico por imagem** (raios-X, ressonância magnética) em hospitais nos EUA, Europa e Ásia. O objetivo aparente é espionagem industrial sobre como esses dispositivos funcionam - não roubo de dados de pacientes. O FBI emitiu alerta em 2020 sobre o grupo atacando cadeias de suprimentos globais.
## Visão Geral
O **Orangeworm** é um grupo de ameaça identificado pela Symantec em abril de 2018, com atividade documentada desde pelo menos janeiro de 2015. O grupo se especializa em comprometer organizações do **setor de saúde** e suas cadeias de suprimentos, com o aparente objetivo de **espionagem corporativa** - aprender como sistemas e dispositivos médicos funcionam, possívelmente para benefício econômico de um concorrente ou Estado.
A principal ferramenta do grupo é o **Kwampirs**, um backdoor Trojan que se propaga agressivamente por compartilhamentos de rede SMB - uma técnica considerada "antiga" mas altamente eficaz em ambientes hospitalares que frequentemente operam com sistemas legados como Windows XP (comum em dispositivos médicos certificados). O Kwampirs foi encontrado em máquinas de raios-X, ressonância magnética e terminais de consentimento de procedimentos médicos.
Uma descoberta técnica significativa é a sobreposição de código e funcionalidades entre o Kwampirs e o **Shamoon** (usado pelo grupo iraniano OilRig/APT34), o que levou alguns pesquisadores a especular sobre relação entre os grupos ou compartilhamento de código fonte. Pesquisadores da Cylera Labs avaliam com confiança média-alta que os grupos são os mesmos ou colaboradores próximos.
O FBI re-emitiu alertas sobre o Kwampirs em 2020, indicando que o grupo continuava ativo e havia expandido ataques a fornecedores da cadeia de suprimentos global.
## Attack Flow - Infiltração em Redes Hospitalares
```mermaid
graph TB
A["Acesso Inicial<br/>Vetor inicial desconhecido<br/>Possívelmente phishing ou cadeia suprimento"] --> B["Deploy Kwampirs<br/>T1543.003 Windows Service<br/>WmiApSrvEx service criado"]
B --> C["Propagação SMB<br/>T1021.002 Admin Shares<br/>ADMIN$ C$WINDOWS D$WINDOWS"]
C --> D["Reconhecimento<br/>T1046 Network Discovery<br/>Enumeracao hosts e compartilhamentos"]
D --> E["Coleta de Informacoes<br/>T1105 Ingress Transfer<br/>Arqs de interesse + info sistema"]
E --> F["C2 via HTTP<br/>T1071.001 Web Protocols<br/>Cicla por lista enorme de C2s"]
F --> G["Espionagem Industrial<br/>Sistemas medicos comprometidos<br/>X-Ray MRI formularios consentimento"]
style A fill:#1a5276,color:#fff
style B fill:#c0392b,color:#fff
style C fill:#e67e22,color:#fff
style D fill:#8e44ad,color:#fff
style E fill:#2980b9,color:#fff
style F fill:#16a085,color:#fff
style G fill:#196f3d,color:#fff
```
## Kwampirs - Análise Técnica
O [[s0236-kwampirs|Kwampirs]] (S0236) é o backdoor assinatura do Orangeworm com características únicas:
```mermaid
graph TB
A["Kwampirs Execução"] --> B["Descriptografa payload DLL<br/>de seção de recursos"]
B --> C["Insere string aleatoria no meio<br/>Para evadir detecção por hash"]
C --> D["Cria servico WmiApSrvEx<br/>WMI Performance Adapter Extension<br/>Persistência após reboot"]
D --> E["Coleta info sistema<br/>Adaptadores de rede versao OS<br/>Configuracoes de idioma"]
E --> F["Propaga via SMB<br/>ADMIN$ C$WINDOWS E$WINDOWS<br/>Copia-se para compartilhamentos abertos"]
F --> G["Cicla por lista de C2s<br/>Beacons até conexão bem-sucedida<br/>Protocolo C2 inalterado desde 2015"]
style A fill:#c0392b,color:#fff
style D fill:#8e44ad,color:#fff
style F fill:#e67e22,color:#fff
style G fill:#196f3d,color:#fff
```
**Características notáveis do Kwampirs:**
- Evasão de hash: insere string aleatória antes de escrever payload no disco
- Nome do serviço de persistência detectável: `WmiApSrvEx` ou `WMI Performance Adapter Extension`
- Propagação via compartilhamentos SMB: `ADMIN
, `C$WINDOWS`, `D$WINDOWS`, `E$WINDOWS`
- C2 com lista extensa de servidores - cicla até encontrar ativo
- Protocolo C2 **não modificado** desde 2015 - indica que defesas não foram eficazes
## Distribuição de Vítimas por Setor
```mermaid
pie
title Distribuição de Vítimas Orangeworm (Symantec 2018)
"Saúde (hospitais, clínicas, farmacêuticas)" : 40
"Manufatura (dispositivos médicos)" : 15
"Tecnologia da Informação" : 15
"Logística e Transporte" : 8
"Agricultura" : 8
"Outros" : 14
```
## Setores Secundários - Estratégia de Cadeia de Suprimentos
O Orangeworm não apenas ataca hospitais diretamente. A estratégia envolve comprometer:
- **Fabricantes de equipamentos**: Empresas que produzem aparelhos de imagem médica (X-ray, MRI) vendidos a hospitais
- **Provedores de TI**: Empresas de suporte técnico para clínicas médicas
- **Logística**: Organizações que entregam produtos farmacêuticos e equipamentos médicos
Isso permite ao grupo atingir o alvo final (hospitais) via comprometimento de fornecedores confiáveis.
## Timeline
```mermaid
timeline
title Orangeworm - Cronologia
2015-01 : Primeiras infeccoes documentadas
: Setor saude EUA e Europa
2015-2017 : Expansao lenta
: Volumes baixos mas consistentes
2018-04 : Symantec descobre e publica
: Kwampirs identificado em dispositivos medicos
2018-2019 : Continuidade
: Grupo ciente de detecção mas sem mudancas
2020-01 : FBI emite alertas multiplos
: Ataques a cadeias de suprimento globais
```
## Conexão com Shamoon/OilRig
```mermaid
graph TB
A["Orangeworm"] -->|"Sobreposicao de código"| B["Kwampirs"]
C["OilRig / APT34"] -->|"Compartilhamento"| D["Shamoon"]
B -->|"Análise reversa Cylera"| E["Funcionalidades similares<br/>Desenvolvimento compartilhado?<br/>Confianca media-alta"]
D -->|"Mesmo código?"| E
style A fill:#c0392b,color:#fff
style C fill:#8e44ad,color:#fff
style E fill:#e67e22,color:#fff
```
A relação com [[g0049-oilrig|APT34/OilRig]] (iraniano) é controversa mas técnicamente sugestiva. Se confirmada, elevaria significativamente a avaliação de risco do Orangeworm de espionagem corporativa para operação de Estado.
## Relevância para o Brasil e LATAM
> [!latam] Risco Elevado para Saúde Brasileira
> O Brasil aparece explicitamente nas listas de vítimas do Orangeworm documentadas pela Symantec. Hospitais brasileiros - frequentemente com sistemas legados e conectividade SMB não segmentada - são alvos ideais para o Kwampirs. O setor de saúde brasileiro processa bilhões em equipamentos de imagem médica (GE Healthcare, Siemens Healthineers, Philips são comuns em hospitais do SUS e privados).
Fatores de risco específicos para o Brasil:
- **SUS e EBSERH**: Hospitais universitários federais com dispositivos médicos legados (Windows XP ainda presente em alguns)
- **Rede D'Or, Hapvida, Unimed**: Grandes redes privadas com parque heterogêneo de equipamentos de imagem
- **Fornecedores nacionais**: SIEMENS Brasil, GE Healthcare Brasil são possíveis vetores de cadeia de suprimento
- **Conectividade SMB não segmentada**: Comum em ambientes hospitalares que não segmentaram redes clínicas das administrativas
## Detecção e Defesa
| Indicador | Técnica de Detecção |
|-----------|---------------------|
| Serviço `WmiApSrvEx` criado | SIEM: alertas para criação de serviços com este nome exato |
| Kwampirs copiando-se via ADMIN$ | NDR: monitoramento de transferências de arquivo via SMB |
| Processo desconhecido acessando compartilhamentos de rede | EDR: alertas para processo novo acessando múltiplos shares |
| Beacons HTTP regulares para IPs externos desconhecidos | NDR: detecção de beacons regulares em dispositivos médicos |
| Strings de serviço: "WMI Performance Adapter Extension" | AV/EDR: regra de detecção por nome de serviço |
**Mitigações prioritárias:**
1. Segmentar redes clínicas (dispositivos médicos) das redes administrativas
2. Desabilitar ou restringir compartilhamentos SMB em dispositivos médicos
3. Auditar serviços Windows em dispositivos médicos com Windows legado
4. Implementar detecção de propagação SMB não autorizada
5. Monitorar conexões de saída de dispositivos médicos (não devem fazer beacons externos)
## Referências
- [1](https://www.security.com/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia) Symantec - New Orangeworm Attack Group Targets Healthcare (2018)
- [2](https://attack.mitre.org/groups/G0071/) MITRE ATT&CK - Orangeworm G0071
- [3](https://resources.cylera.com/new-evidence-linking-kwampirs-malware-to-shamoon-apts) Cylera Labs - New Evidence Linking Kwampirs Malware to Shamoon APTs (2022)
- [4](https://www.computerweekly.com/news/252439782/Orangeworm-cyber-attack-group-targeting-health-sector) Computer Weekly - Orangeworm Cyber Attack Group Targeting Health Sector (2018)
- [5](https://www.zdnet.com/article/fbi-re-sends-alert-about-supply-chain-attacks-for-the-third-time-in-three-months/) ZDNet - FBI Alert: Supply Chain Attacks via Kwampirs (2020)
- [6](https://blog.qualys.com/product-tech/2018/04/24/orangeworm-targeting-healthcare-industry-since-2015-now-exposed) Qualys - Orangeworm Targeting Healthcare (2018)
**Malware:** [[s0236-kwampirs|Kwampirs]]
**Grupos relacionados:** [[g0049-oilrig|APT34/OilRig]] (possível sobreposição de código)
**Setores alvejados:** [[healthcare|Saúde]] · [[manufacturing|Manufatura]] · [[technology|Tecnologia]]