في بداية تفشي جائحة كوفيد-19، أنشأت IBM Security X-Force فريق عمل لاستعلامات التهديدات مخصص لتعقب التهديدات الإلكترونية المتعلقة بكوفيد-19 والتي تستهدف المؤسسات التي تحافظ على سير سلسلة توريد اللقاحات. وكجزء من هذه الجهود، كشف فريقنا مؤخرًا عن حملة تصيد احتيالي عالمية تستهدف المؤسسات المرتبطة بسلسلة تبريد لقاح كوفيد-19. تُعد سلسلة التبريد عنصرًا من سلسلة توريد اللقاح تضمن الحفاظ الآمن على اللقاحات في بيئات ذات درجات حرارة معينة في أثناء تخزينها ونقلها.
تشير تحليلاتنا إلى أن هذه العملية المدروسة بدأت في سبتمبر 2020. شملت حملة التصيد الاحتيالي المتعلقة بكوفيد-19 ست دول، واستهدفت مؤسسات على الأرجح ذات صلة ببرنامجتحسين معدات سلسلة التبريد (CCEOP) التابع لتحالف اللقاحات Gavi، والذي سنشرحه بمزيد من التفصيل في هذه المدونة. ورغم أنه لم يكن من الممكن تحديد الجهة المسؤولة عن هذه الحملة، إلا أن الاستهداف الدقيق للمسؤولين التنفيذيين والمؤسسات العالمية الكبرى يحمل السمات المميزة المحتملة لتجسس دولة قومية.
تتضمن بعض التفاصيل الواردة في تحليل IBM Security X-Force لهذا النشاط ما يلي:
اتبعت IBM Security X-Force بروتوكولات الإفصاح المسؤول وأبلغت الجهات والسلطات المختصة بهذه العملية المستهدفة.
تحث IBM Security X-Force الشركات المشاركة في سلسلة توريد لقاح كوفيد-19 — بدءًا من أبحاث العلاجات، وتقديم الرعاية الصحية، إلى توزيع اللقاحات — على أن تكون يقظة وأن تبقى في حالة تأهب قصوى خلال هذه الفترة. وقد حذرت الحكومات بالفعل من احتمالية تنفيذ جهات أجنبية محاولات تجسس إلكتروني لسرقة معلومات عن اللقاحات. واليوم، وبالتزامن مع هذه المدونة، تُصدر وكالة الأمن الإلكتروني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي الأمريكية (DHS CISA) تنبيهًا يحث المؤسسات المعنية بتخزين ونقل اللقاحات على مراجعة هذا البحث وأفضل الممارسات الموصى بها للحفاظ على اليقظة.
كشفت IBM Security X-Force عن أهداف عبر عدة مجالات وحكومات وشركاء عالميين يدعمون برنامجCCEOP. في عام 2015، أطلقت مؤسسة Gavi، تحالف اللقاحات، جنبًا إلى جنب مع منظمة الأمم المتحدة للطفولة (اليونيسيف)، وشركاء آخرون برنامج CCEOP. ويتمثل هدفه في النهاية في تعزيز سلاسل توريد اللقاحات، وتحسين المساواة في التطعيم، وضمان الاستجابة الطبية المرنة لتفشي الأمراض المعدية. تتطلب فئات مختلفة من الأدوية، وخاصة اللقاحات، التخزين والنقل في بيئاتذات درجات حرارة معينة لضمان الحفاظ عليها بأمان.
ومن الطبيعي أن تسهم مبادرة CCEOP في تسريع الجهود الرامية إلى تسهيل توزيع لقاح كوفيد-19. يمكن أن يؤدي أي خرق في أي جزء من هذا التحالف العالمي إلى تعرض العديد من بيئات الحوسبة الشريكة في جميع أنحاء العالم للخطر.
تبدو رسائل التصيد الاحتيالي المزيفة وكأنها صادرة عن مدير تنفيذي في شركة Haier Biomedical، وهي شركة صينية تعمل حاليًا كمورد مؤهل ضمن برنامج CCEOP، بالتنسيق مع منظمة الصحة العالمية (WHO)، واليونيسيف، وغيرها من وكالات الأمم المتحدة. ومن المحتمل جدًا أن يكون الخصم قد اختار بشكل إستراتيجي انتحال صفة شركة Haier Biomedical لأنه يُزعم أنها مزود سلسلة التبريد الكاملة الوحيد في العالم. وبالمثل، فإن موظف Haier Biomedical الذي يزعم أنه مرسل رسائل البريد الإلكتروني هذه من المرجح أن يكون مرتبطًا بعمليات توزيع سلسلة التبريد في Haier Biomedical بناءً على منصبه، والذي هو مدرج في قسم توقيع البريد الإلكتروني.
ولم يتضح من تحليلنا ما إذا كانت حملة التصيد الاحتيالي المتعلقة بكوفيد-19 قد نجحت أم لا. لكن الدور الراسخ الذي تؤديه Haier Biomedical حاليًا في نقل اللقاحات، والدور المحتمل لها في توزيع لقاح كوفيد-19، يزيد من احتمالية تفاعل الأهداف المقصودة مع رسائل البريد الإلكتروني الواردة من دون التشكيك في مصداقية المرسل.
كان موضوع رسائل البريد الإلكتروني التصيدية يبين أنها طلبات عروض أسعار (RFQ) تتعلق ببرنامج CCEOP. تحتوي رسائل البريد الإلكتروني على مرفقات HTML خبيثة تفتح محليًا، وتطلب من المستلمين إدخال بيانات اعتمادهم لاستعراض الملف. تساعد تقنية التصيد هذه المهاجمين على تجنب إنشاء صفحات تصيد إلكترونية يمكن اكتشافها وحذفها من قبل فرق البحث الأمني وجهات إنفاذ القانون.
ووفق تقدرينا، قد يتمثل الغرض من هذه الحملة في جمع بيانات الاعتماد للحصول على صلاحية وصول غير مصرح بها في المستقبل. وعندئذٍ، يمكن للخصم أن يحصل على معارف حول الاتصالات الداخلية، بالإضافة إلى عملية وطرق وخطط توزيع لقاح كوفيد-19. ويشمل ذلك المعلومات المتعلقة بالبنية التحتية التي تنوي الحكومات استخدامها لتوزيع اللقاح على الموردين الذين سيوفرونه. ومع ذلك، بعيدًا عن المعلومات الحساسة المتعلقة بلقاح كوفيد-19، يمكن أن يمتد وصول الخصم إلى بيئات الضحايا. يمكن أن تسمح لهم الحركة الجانبية عبر الشبكات والبقاء فيها متخفيين بالتجسس الإلكتروني وجمع معلومات سرية إضافية من بيئات الضحايا بهدف تنفيذ عمليات في المستقبل.
الشكل 1: رسالة بريد إلكتروني للتصيد الاحتيالي مرسلة إلى مسؤولين تنفيذيين في مؤسسات ذات صلة بسلسلة توريد لقاح كوفيد-19.
نظرًا إلى التخصص والتوزيع العالمي للمؤسسات المستهدفة في هذه الحملة، فمن المرجح جدًا أن يكون الخصم على دراية وثيقة بالعناصر الحساسة والمشاركين في سلسلة التبريد.
على الرغم من أن الجهة المسؤولة غير معروفة حاليًا، إلا أن دقة الاستهداف وطبيعة المؤسسات المستهدفة بعينها تشير على الأرجح إلى أنه نشاط دولة قومية. ومن دون وجود مسار واضح لكسب أموال، فمن غير المرجح أن يكرس المجرمون الإلكترونيون الوقت والموارد اللازمة لتنفيذ مثل هذه العملية المدروسة مع وجود العديد من الأهداف المترابطة والموزعة عالميًا. وبالمثل، فإن المعارف بشأن نقل اللقاح قد تمثل سلعة رائجة في السوق السوداء، ومع ذلك، فإن المعارف المتقدمة حول شراء وحركة اللقاح والتي يمكن أن تؤثر في الحياة والاقتصاد العالمي من المرجح أن تكون هدفًا ذا قيمة عالية وأولوية قصوى بالنسبة إلى دولة قومية.
في وقت سابق من عام 2020، كشفت IBM Security X-Force عن نشاط يتعلق باستهداف سلسلة التوريد العالمية لمعدات الحماية الشخصية (PPE) من كوفيد-19. وبالمثل، في ظل المنافسة العالمية للحصول على اللقاح، من المحتمل جدًا أن تكون سلسلة التبريد هدفًا مقنعًا سيكون على رأس قوائم متطلبات جمع البيانات الوطنية في جميع أنحاء العالم.
تستعد IBM Security X-Force لاستضافة مجتمع سلسلة توريد لقاح كوفيد-19 على منصة إدارة استخبارات المؤسسات الخاصة بنا، حيث يمكنهم مشاركة معلومات التهديدات واتخاذ إجراءات بناءً على أحدث استعلامات التهديدات. فيما يلي توصيات للمؤسسات لزيادة جاهزيتها الإلكترونية في ظل التطورات الموضحة في هذه المدونة:
إذا كانت مؤسستك بحاجة إلى مساعدة فورية في الاستجابة للحوادث، فيُرجى التواصل مع IBM Security X-Force على الخط الساخن الأمريكي على الرقم 1-888-241-9812 | الخط الساخن العالمي (+001) 312-212-8034 تعرف على المزيد عن خدمات استعلامات التهديدات والاستجابة للحوادث التي تقدمها X-Force.
