Los elementos de la cadena de suministro internacional de vacunas están siendo el blanco de una campaña de phishing mundial que probablemente sea el trabajo de un atacante cibernético respaldado por un estado nacional, según la unidad X-Force de IBM Security.
Este desarrollo llega inmediatamente después de una alerta global emitida por Interpol a sus 194 estados miembros, advirtiendo que los actores maliciosos se estaban dirigiendo a las organizaciones objetivo asociadas con las vacunas Covid-19.
La campaña en curso está dirigida a organizaciones estrechamente asociadas con la cadena de frío, parte de la cadena de suministro de vacunas que garantiza la conservación segura de las vacunas en entornos con temperatura controlada durante el tránsito.
La cadena de frío será fundamental para el despliegue de dos de las vacunas Covid-19 más prometedoras, la desarrollada por Pfizer / BioNTech, que debe mantenerse a -70 ° C, y la desarrollada por Moderna, que debe mantenerse en -20 ° C.
El equipo de X-Force dijo que su análisis apuntaba a una «operación calculada» a partir de septiembre, que abarca seis países y se dirige a organizaciones asociadas con la plataforma de optimización de equipos de cadena de frío de la alianza internacional de vacunas Gavi (CCEOP).
No pudo atribuir con precisión la campaña, pero dijo que tanto la focalización precisa de ejecutivos clave en organizaciones relevantes llevaban las «características potenciales del oficio de Estado-nación».
La analista senior de amenazas cibernéticas estratégicas de IBM, Claire Zaboeva, escribió: “Si bien actualmente se desconoce la atribución, la orientación precisa y la naturaleza de las organizaciones específicas apuntadas potencialmente apuntan a la actividad del estado-nación.
“Sin un camino claro hacia el retiro de efectivo, es poco probable que los ciberdelincuentes dediquen el tiempo y los recursos necesarios para ejecutar una operación tan calculada con tantos objetivos interconectados y distribuidos globalmente. Del mismo modo, la comprensión del transporte de una vacuna puede representar un producto candente en el mercado negro. Sin embargo, es probable que la información avanzada sobre la compra y el movimiento de una vacuna que puede afectar la vida y la economía mundial sea un objetivo de alto valor y alta prioridad para los estados nacionales «.
Según IBM X-Force, el atacante se ha estado haciendo pasar por un ejecutivo de Haier Biomedical, un especialista en cadena de frío, para dirigirse a organizaciones como la Dirección General de Impuestos y Unión Aduanera de la Comisión Europea, y empresas de energía, fabricación, creación de sitios web y software. y sectores de seguridad en Internet.
Los correos electrónicos de spear-phishing se dirigían principalmente a ejecutivos de los departamentos de ventas, adquisiciones, TI y finanzas, pero en algunos casos también a personas de otras partes de la organización.
Las líneas de asunto son solicitudes de citas relacionadas con el programa CCEOP, pero los correos electrónicos contienen archivos adjuntos HTML maliciosos que se abren localmente, lo que solicita a sus víctimas que ingresen sus credenciales para ver el archivo.
Su objetivo es casi con certeza recolectar credenciales y así obtener acceso futuro a redes corporativas y datos sobre procesos, métodos y planes de distribución de vacunas, como información sobre cómo los gobiernos pondrán la vacuna Covid-19 en manos de los servicios de salud nacionales.
Max Heinemeyer, director de caza de amenazas en Darktrace, dijo que atacar la cadena de suministro de vacunas probablemente sea más fácil para los perpetradores que perseguir los objetivos principales en el sector de la salud.
“Este esfuerzo particular para interrumpir la investigación y el desarrollo de vacunas confirma que la barrera entre las cadenas de suministro ‘cibernéticas’ y ‘físicas’ casi se ha disuelto”, dijo. “Los ataques de hoy pueden comenzar en la bandeja de entrada y terminar interrumpiendo la cadena de entrega de una vacuna o servicio crítico.
“Un solo ataque de phishing es fácil de realizar, pero ejecutar una campaña de spear-phishing orquestada contra objetivos de alto perfil como este demuestra mucha sofisticación. El ataque parece amplio y sofisticado, más amplio que las típicas campañas de delitos cibernéticos que apuntan a una rápida monetización «.
Aunque los objetivos de la campaña son, en esta etapa, meras especulaciones, Heinemeyer sugirió que la información sobre el paradero físico de las vacunas que deben mantenerse extremadamente frías podría ser información útil para muchos estados nacionales.
El hecho de que la campaña se haya realizado durante algún tiempo también es motivo de preocupación, agregó. “Las organizaciones necesitan mejorar mucho en la detección de actividad digital inusual en una etapa mucho más temprana, utilizando tecnología de defensa de vanguardia, en particular inteligencia artificial, en la totalidad de su infraestructura digital”, dijo.
Maria Namestnikova, directora del Equipo de Análisis e Investigación Global de Kaspersky (GReAT) en Rusia, dijo: “Los actores de amenazas continúan pivotando y explotando la pandemia Covid-19 para llevar a cabo ciberataques altamente avanzados con este último ataque a la vacuna Covid-19 . Recientemente, Kaspersky y varias otras compañías de seguridad cibernética han notado un creciente interés por parte de los actores de amenazas APT en el desarrollo de vacunas.
“Durante los primeros seis meses de investigación sobre una vacuna Covid-19, solo hubo mensajes de agencias de inteligencia occidentales sobre los ataques de WellMess contra los desarrolladores de medicamentos. Ahora, en las últimas semanas, la comunidad de seguridad cibernética ha informado de intentos de comprometer a investigadores en los EE. UU., Corea del Sur, Canadá, Francia e India.
“Se informa que parte de esta actividad se ha relacionado con actores norcoreanos. En general, creemos que el interés de los actores de la APT en el desarrollo de vacunas seguirá creciendo y que estos ataques se aprovecharán como parte de una estrategia geopolítica. Por lo tanto, las banderas falsas, por ejemplo, las direcciones de correo electrónico con un dominio .ru, una técnica ya utilizada por algunos actores de amenazas, pueden usarse para tratar de desviar las sospechas de los atacantes, lo que lleva a posibles disputas geopolíticas «.
Zaboeva de IBM agregó: “IBM Security X-Force insta a las empresas en la cadena de suministro de Covid-19, desde la investigación de terapias, la entrega de atención médica hasta la distribución de una vacuna, a estar atentas y en alerta máxima durante este tiempo.
“Los gobiernos ya han advertido que es probable que entidades extranjeras intenten realizar ciberespionaje para robar información sobre vacunas. Hoy, junto con este blog, DHS CISA está emitiendo una alerta alentando a las organizaciones asociadas con el almacenamiento y transporte de una vacuna a revisar esta investigación y las mejores prácticas recomendadas para permanecer vigilantes «.