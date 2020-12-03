Segurança Operações de negócios

IBM descobre campanha global de phishing visando a cadeia de frio da vacina contra a COVID-19.

Médico extraindo a vacina do frasco

Autora

Claire Zaboeva

Senior Strategic Cyber Threat Analyst

IBM

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

No início da pandemia de COVID-19, o IBM Security X-Force criou uma força-tarefa de inteligência de ameaças dedicada a rastrear ameaças cibernéticas contra organizações que mantêm a cadeia de suprimentos de vacinas em movimento. Como parte desses esforços, nossa equipe descobriu recentemente uma campanha global de phishing visando organizações associadas a uma cadeia de frio da COVID-19. A cadeia de frio é um componente da cadeia de suprimentos de vacinas que garante a preservação segura das vacinas em ambientes com temperatura controlada durante o armazenamento e o transporte.

Nossa análise indica que essa operação calculada teve início em setembro de 2020. A campanha de phishing relacionada à COVID-19 se estendeu por seis países e teve como alvo organizações provavelmente associadas ao programa Cold Chain Equipment Optimization Platform (CCEOP) da Gavi, a aliança de vacinas, que explicamos com mais detalhes neste blog. Embora uma atribuição definitiva não possa ser estabelecida para esta campanha, a precisão no direcionamento de executivos e de organizações globais-chave apresenta potenciais características de técnicas de operação de um Estado-nação.

Alguns detalhes da análise dessa atividade pela IBM Security X-Force incluem:

  • A história de capa – o adversário se passou por um executivo da Haier Biomedical, uma empresa membro confiável e legítima da cadeia de suprimentos da vacina contra a COVID-19 e fornecedora qualificada para o programa CCEOP. A empresa é considerada a única fornecedora mundial de cadeia de frio completa. Disfarçado como esse funcionário, o adversário enviou e-mails de phishing para organizações que se acredita serem fornecedoras de materiais de suporte para atender às necessidades de transporte dentro da cadeia de frio da COVID-19. Avaliamos que o objetivo dessa campanha de phishing da COVID-19 pode ter sido coletar credenciais, possivelmente para obter acesso não autorizado futuro a redes corporativas e informações confidenciais relacionadas à distribuição da vacina COVID-19.
  • Os alvos – os alvos incluíam a Direção Geral de Tributação e União Aduaneira da Comissão Europeia, bem como organizações dos setores de energia, manufatura, criação de sites e soluções de software e segurança na Internet. São organizações globais com sede na Alemanha, Itália, Coreia do Sul, República Tcheca, Europa e Taiwan.
  • O método utilizado – e-mails de spear-phishing foram enviados a executivos selecionados em cargos de vendas, aquisição, tecnologia e finanças, provavelmente envolvidos nos esforços da empresa para dar suporte a uma cadeia de frio de vacinas. Também identificamos casos em que essa atividade se estendeu por toda a organização para incluir páginas de ajuda e suporte das organizações-alvo.

O IBM Security X-Force seguiu protocolos de divulgação responsável e notificou as entidades e autoridades apropriadas sobre essa operação direcionada.

Alerta para a cadeia de suprimentos da COVID-19

O IBM Security X-Force recomenda que as empresas da cadeia de suprimentos da COVID-19, desde pesquisas em terapias, prestação de serviços de saúde até distribuição de vacinas, estejam vigilantes e permaneçam em estado de alerta máximo durante esse período. Os governos já alertaram que entidades estrangeiras provavelmente tentarão realizar espionagem cibernética para roubar informações sobre vacinas. Hoje, em conjunto com este blog, o DHS CISA está emitindo um alerta incentivando as organizações associadas ao armazenamento e transporte de vacinas a revisarem esta pesquisa e as melhores práticas recomendadas para permanecerem vigilantes.

Falsificação calculada para comprometer a cadeia de frio da COVID-19

O IBM Security X-Force descobriu alvos em vários setores, governos e parceiros globais que apoiam o programa CCEOP. O CCEOP foi lançado pela Gavi, The Vaccina Alliance, juntamente com o Fundo das Nações Unidas para a Infância (UNICEF) e outros parceiros em 2015. Seu objetivo é, em última análise, fortalecer as cadeias de suprimentos de vacinas, otimizar a equidade na imunização e garantir uma resposta médica ágil a surtos de doenças infecciosas. Diversas classes de medicamentos, especialmente vacinas, exigem armazenamento e transporte em ambientes com temperatura controlada para garantir sua preservação.

A iniciativa CCEOP está acelerando naturalmente os esforços para facilitar a distribuição de uma vacina contra a COVID-19. Uma violação em qualquer parte desta aliança global poderia resultar na exposição de inúmeros ambientes computacionais de parceiros em todo o mundo.

Os e-mails de phishing parecem ter origem em um executivo de negócios da Haier Biomedical, uma empresa chinesa que atua como fornecedora qualificada para o programa CCEOP, em coordenação com a Organização Mundial da Saúde (OMS), UNICEF e outras agências da ONU. É muito provável que o adversário tenha escolhido estrategicamente se passar pela Haier Biomedical porque ela é considerada a única fornecedora de cadeia de frio completa do mundo. Da mesma forma, o funcionário da Haier Biomedical que supostamente está enviando esses e-mails provavelmente está associado às operações de distribuição da cadeia de frio da Haier Biomedical, com base em sua função, que está listada na assinatura do e-mail.

Nossa análise não permitiu determinar se a campanha de phishing relacionada à COVID-19 foi bem-sucedida. No entanto, o papel já estabelecido que a Haier Biomedical atualmente desempenha no transporte de vacinas, e seu provável papel na distribuição da vacina contra a COVID-19, aumenta a probabilidade de que os alvos pretendidos interajam com os e-mails recebidos sem questionar a autenticidade do remetente.

Coleta de credenciais para maior acesso

O assunto dos e-mails de phishing se apresenta como solicitações de cotações (RFQ) relacionadas ao programa CCEOP. Os e-mails contêm anexos HTML maliciosos que abrem localmente, solicitando que os destinatários insiram suas credenciais para visualizar o arquivo. Essa técnica de phishing ajuda os invasores a evitar a criação de páginas de phishing on-line que possam ser descobertas e removidas pelas equipes de pesquisa de segurança e pelas autoridades policiais.

Avaliamos que o objetivo desta campanha pode ter sido coletar credenciais para obter acesso não autorizado futuro. A partir daí, o adversário poderia obter insights sobre as comunicações internas, bem como o processo, os métodos e os planos para distribuir uma vacina contra a COVID-19. Isso inclui informações relativas à infraestrutura que os governos pretendem usar para distribuir uma vacina aos fornecedores que a disponibilizarão. No entanto, além das informações críticas relativas à vacina contra a COVID-19, o acesso dos adversários pode se estender mais profundamente nos ambientes das vítimas. Mover-se lateralmente através de redes e permanecer nelas de forma oculta permitiria que eles realizassem espionagem cibernética e coletassem informações confidenciais adicionais dos ambientes das vítimas para operações futuras.

Captura de tela de um e-mail de phishing enviado a executivos de organizações relacionadas à cadeia de suprimentos da vacina contra a COVID-19.

Figura 1: e-mail de phishing enviado a executivos de organizações relacionadas à cadeia de suprimentos da vacina contra a COVID-19.

Direcionamento global

Dada a especialização e a distribuição global das organizações visadas nesta campanha, é muito provável que o adversário esteja intimamente ciente dos componentes críticos e participantes da cadeia de frio.

  • Direção Geral de Tributação e União Aduaneira da Comissão Europeia – a Direção Geral é responsável por promover a cooperação em questões aduaneiras e fiscais em toda a UE. Ela mantém vínculos diretos com várias redes de governo nacionais e está associada ao comércio e à regulamentação. Atacar essa entidade poderia servir como um ponto único de comprometimento, afetando múltiplos alvos de alto valor nos 27 estados membros da União Europeia e em outros países.
  • Setor de energia – os alvos de spear phishing incluíam empresas envolvidas na fabricação de painéis solares. Uma das maneiras de manter as vacinas refrigeradas em países onde não há fornecimento confiável de energia é utilizando refrigeradores para vacinas alimentados por painéis solares. O comprometimento dessas tecnologias poderia resultar em roubo de propriedade intelectual ou em roubo e venda de contêineres de vacinas em mercados negros em todo o mundo. A segmentação também incluiu empresas associadas ao setor petroquímica. Entre os principais componentes da cadeia de frio está o uso de gelo seco, que é um subproduto da produção de petróleo.
  • Setor de TI – entre os alvos estavam uma empresa de desenvolvimento de software sul-coreana e uma empresa alemã de desenvolvimento de sites. Este último presta apoio a vários clientes associados a fabricantes de produtos farmacêuticos, transporte de contêineres, biotecnologia e fabricantes de componentes elétricos que permitem a navegação e as comunicações marítimas, terrestres e aéreas.

Quem provavelmente está por trás desses ataques?

Embora a atribuição seja atualmente desconhecida, a precisão do direcionamento e a natureza das organizações específicas visadas apontam potencialmente para uma atividade de um Estado-nação. Sem um caminho claro para o resgate do dinheiro, é improvável que os cibercriminosos dediquem o tempo e os recursos necessários para executar operações tão calculadas com tantos alvos interligados e distribuídos globalmente. Da mesma forma, insights sobre o transporte de uma vacina podem representar uma commodity valiosa no mercado negro; no entanto, insights prévios sobre a compra e a movimentação de uma vacina que pode impactar vidas e a economia global, provavelmente é um alvo de alto valor e prioridade para os estados-nação.

No início de 2020, o IBM Security X-Force descobriu atividades relacionadas à ataques a uma cadeia de suprimentos global de EPI da COVID-19. Da mesma forma, enquanto a competição global por uma vacina se intensifica, é altamente provável que a cadeia de frio seja um alvo atrativo que estará no topo das listas de requisitos nacionais de coleta em todo o mundo.

Recomendações aos defensores

O IBM Security X-Force está pronto para receber a comunidade da cadeia de suprimentos da COVID-19 em nossa plataforma Enterprise Intelligence Management, onde é possível compartilhar informações sobre ameaças e agir com base nas últimas inteligência de ameaças. A seguir estão recomendações para as organizações aumentarem sua prontidão cibernética em meio aos desenvolvimentos descritos neste blog:

  • Crie e teste planos de resposta a incidentes para fortalecer a preparação e a prontidão da sua organização para responder em caso de ataque.
  • Compartilhe e incorpore inteligência de ameaças. Iniciativas e parcerias de compartilhamento de ameaças são essenciais para se manter alerta sobre as últimas ameaças e táticas que afetam os setores. O IBM Security X-Force tem alimentado essa inteligência de ameaças no ambiente de compartilhamento de ameaças da COVID-19. No início da pandemia, a IBM tornou esse ambiente acessível a qualquer organização que precisasse de mais atenção às ameaças cibernéticas.
  • Avalie seu ecossistema de terceiros e os possíveis riscos introduzidos por parceiros terceirizados. Confirme se você tem monitoramento robusto, controles de acesso e padrões de segurança que os parceiros terceirizados precisam seguir.
  • Aplique uma abordagem de zero trust à sua estratégia de segurança. À medida que os ambientes continuam se expandindo, gerenciar o acesso privilegiado se torna fundamental para garantir que os usuários tenham acesso apenas aos dados essenciais para seu trabalho.
  • Use autenticação multifator (MFA) em toda a organização. A MFA funciona como uma medida de segurança caso um agente malicioso tenha obtido acesso às suas credenciais. Como último recurso de defesa, a MFA oferece uma segunda forma de verificação para acessar uma conta.
  • Realize treinamentos regulares sobre segurança de e-mail para que os funcionários permaneçam alertas sobre táticas de phishing e estejam familiarizados com as melhores práticas de segurança de e-mail.
  • Use ferramentas de proteção e resposta de endpoint para detectar e evitar que ameaças se espalhem por toda a organização.

Se a sua organização precisar de assistência imediata para resposta a incidentes, entre em contato diretamente com o IBM Security X-Force nos EUA: 1-888-241-9812 | Linha direta global (+001) 312-212-8034. Saiba mais sobre os serviços de inteligência de ameaças e resposta a incidentes do X-Force.

Indicadores de comprometimento (IOCs)

Arquivos HTML maliciosos: RFQ – UNICEF CCEOP e projeto de vacina – cópia (#).html

Hashes SHA256
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895

URLs C2

hxxps://e-mailer.cf/next[.]php

hxxps://e-mailer.ga/next[.]php

hxxps://nwa-oma2.ml/next[.]php

hxxps://routermanager.ga/next[.]php

hxxps://routermanager.gq/next[.]php

hxxps://routermanager.ml/next[.]php

hxxps://routermanagers.cf/next[.]php

hxxps://routermanagers.ga/next[.]php

hxxps://routermanagers.gq/next[.]php

hxxps://routermanagers.ml/next[.]php

hxxps://serverrouter.cf/next[.]php

hxxps://serverrouter.ga/next[.]php

hxxps://serversrouter.cf/next[.]php

hxxps://serversrouter.gq/next[.]php

hxxps://nwa-oma.ml/next[.]php

Endereços de e-mail do remetente

yongbinxu@haierbiomedical[.]com

Endereços DNS SOA

rahim[@]protonmail[.]com

kilode[@]cock.li.

Additional related URLs

hxxps://mailerdeamon[.]cf

hxxps://mailerdeamon[.]ga

hxxps://mailerdeamon[.]gq

hxxps://mailerdeamon[.]ml

hxxps://mailerdeamon[.]tk

hxxps://routermanager[.]tk

hxxps://routermanagers[.]tk

hxxps://serverrouter[.]tk