Медмониторы для пациентов незаметно отправляют их данные на удалённый IP-адрес в Китае

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) предупредило, что устройства Contec CMS8000 для мониторинга пациентов включают бэкдор, который незаметно отправляет данные на удалённый IP-адрес в Китае, а также загружает и выполняет файлы.

Contec — китайская компания, которая специализируется на технологиях здравоохранения и предлагает ряд медицинских устройств, включая системы мониторинга пациентов, диагностическое оборудование и лабораторные приборы.

CISA узнало о бэкдоре от независимого исследователя. Когда агентство протестировало три пакета прошивки Contec CMS8000, его эксперты обнаружили аномальный сетевой трафик на жёстко запрограммированный внешний IP-адрес, который связан не с компанией, а с китайским университетом. Это привело к обнаружению бэкдора в прошивке, который незаметно загружает и выполняет файлы на устройстве. Также было обнаружено, что медмониторы незаметно отправляют данные пациентов на тот же IP-адрес.

В CISA не раскрыли название этого университета и не привели IP-адрес. Однако выяснилось, что он также жёстко закодирован в программном обеспечении для разного медоборудования, включая монитор для наблюдения за беременностью от другого производителя медицинских услуг в Китае.

При анализе прошивки CISA обнаружило, что один из исполняемых файлов устройства, «monitor», содержит бэкдор, который выдаёт ряд команд Linux. Они включают сетевой адаптер устройства (eth0), а затем пытаются смонтировать удалённый общий ресурс NFS по жёстко запрограммированному IP-адресу. Ресурс NFS смонтирован в /mnt/, а бэкдор рекурсивно копирует файлы из папки /mnt/ в /opt/bin. 

«Хотя каталог /opt/bin не является частью установок Linux по умолчанию, он, тем не менее, считается обычной структурой каталогов. Обычно