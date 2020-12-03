No início da pandemia de COVID-19, o IBM Security X-Force criou uma força-tarefa de inteligência de ameaças dedicada a rastrear ameaças cibernéticas contra organizações que mantêm a cadeia de suprimentos de vacinas em movimento. Como parte desses esforços, nossa equipe descobriu recentemente uma campanha global de phishing visando organizações associadas a uma cadeia de frio da COVID-19. A cadeia de frio é um componente da cadeia de suprimentos de vacinas que garante a preservação segura das vacinas em ambientes com temperatura controlada durante o armazenamento e o transporte.
Nossa análise indica que essa operação calculada teve início em setembro de 2020. A campanha de phishing relacionada à COVID-19 se estendeu por seis países e teve como alvo organizações provavelmente associadas ao programa Cold Chain Equipment Optimization Platform (CCEOP) da Gavi, a aliança de vacinas, que explicamos com mais detalhes neste blog. Embora uma atribuição definitiva não possa ser estabelecida para esta campanha, a precisão no direcionamento de executivos e de organizações globais-chave apresenta potenciais características de técnicas de operação de um Estado-nação.
Alguns detalhes da análise dessa atividade pela IBM Security X-Force incluem:
O IBM Security X-Force seguiu protocolos de divulgação responsável e notificou as entidades e autoridades apropriadas sobre essa operação direcionada.
O IBM Security X-Force recomenda que as empresas da cadeia de suprimentos da COVID-19, desde pesquisas em terapias, prestação de serviços de saúde até distribuição de vacinas, estejam vigilantes e permaneçam em estado de alerta máximo durante esse período. Os governos já alertaram que entidades estrangeiras provavelmente tentarão realizar espionagem cibernética para roubar informações sobre vacinas. Hoje, em conjunto com este blog, o DHS CISA está emitindo um alerta incentivando as organizações associadas ao armazenamento e transporte de vacinas a revisarem esta pesquisa e as melhores práticas recomendadas para permanecerem vigilantes.
O IBM Security X-Force descobriu alvos em vários setores, governos e parceiros globais que apoiam o programa CCEOP. O CCEOP foi lançado pela Gavi, The Vaccina Alliance, juntamente com o Fundo das Nações Unidas para a Infância (UNICEF) e outros parceiros em 2015. Seu objetivo é, em última análise, fortalecer as cadeias de suprimentos de vacinas, otimizar a equidade na imunização e garantir uma resposta médica ágil a surtos de doenças infecciosas. Diversas classes de medicamentos, especialmente vacinas, exigem armazenamento e transporte em ambientes com temperatura controlada para garantir sua preservação.
A iniciativa CCEOP está acelerando naturalmente os esforços para facilitar a distribuição de uma vacina contra a COVID-19. Uma violação em qualquer parte desta aliança global poderia resultar na exposição de inúmeros ambientes computacionais de parceiros em todo o mundo.
Os e-mails de phishing parecem ter origem em um executivo de negócios da Haier Biomedical, uma empresa chinesa que atua como fornecedora qualificada para o programa CCEOP, em coordenação com a Organização Mundial da Saúde (OMS), UNICEF e outras agências da ONU. É muito provável que o adversário tenha escolhido estrategicamente se passar pela Haier Biomedical porque ela é considerada a única fornecedora de cadeia de frio completa do mundo. Da mesma forma, o funcionário da Haier Biomedical que supostamente está enviando esses e-mails provavelmente está associado às operações de distribuição da cadeia de frio da Haier Biomedical, com base em sua função, que está listada na assinatura do e-mail.
Nossa análise não permitiu determinar se a campanha de phishing relacionada à COVID-19 foi bem-sucedida. No entanto, o papel já estabelecido que a Haier Biomedical atualmente desempenha no transporte de vacinas, e seu provável papel na distribuição da vacina contra a COVID-19, aumenta a probabilidade de que os alvos pretendidos interajam com os e-mails recebidos sem questionar a autenticidade do remetente.
O assunto dos e-mails de phishing se apresenta como solicitações de cotações (RFQ) relacionadas ao programa CCEOP. Os e-mails contêm anexos HTML maliciosos que abrem localmente, solicitando que os destinatários insiram suas credenciais para visualizar o arquivo. Essa técnica de phishing ajuda os invasores a evitar a criação de páginas de phishing on-line que possam ser descobertas e removidas pelas equipes de pesquisa de segurança e pelas autoridades policiais.
Avaliamos que o objetivo desta campanha pode ter sido coletar credenciais para obter acesso não autorizado futuro. A partir daí, o adversário poderia obter insights sobre as comunicações internas, bem como o processo, os métodos e os planos para distribuir uma vacina contra a COVID-19. Isso inclui informações relativas à infraestrutura que os governos pretendem usar para distribuir uma vacina aos fornecedores que a disponibilizarão. No entanto, além das informações críticas relativas à vacina contra a COVID-19, o acesso dos adversários pode se estender mais profundamente nos ambientes das vítimas. Mover-se lateralmente através de redes e permanecer nelas de forma oculta permitiria que eles realizassem espionagem cibernética e coletassem informações confidenciais adicionais dos ambientes das vítimas para operações futuras.
Figura 1: e-mail de phishing enviado a executivos de organizações relacionadas à cadeia de suprimentos da vacina contra a COVID-19.
Dada a especialização e a distribuição global das organizações visadas nesta campanha, é muito provável que o adversário esteja intimamente ciente dos componentes críticos e participantes da cadeia de frio.
Embora a atribuição seja atualmente desconhecida, a precisão do direcionamento e a natureza das organizações específicas visadas apontam potencialmente para uma atividade de um Estado-nação. Sem um caminho claro para o resgate do dinheiro, é improvável que os cibercriminosos dediquem o tempo e os recursos necessários para executar operações tão calculadas com tantos alvos interligados e distribuídos globalmente. Da mesma forma, insights sobre o transporte de uma vacina podem representar uma commodity valiosa no mercado negro; no entanto, insights prévios sobre a compra e a movimentação de uma vacina que pode impactar vidas e a economia global, provavelmente é um alvo de alto valor e prioridade para os estados-nação.
No início de 2020, o IBM Security X-Force descobriu atividades relacionadas à ataques a uma cadeia de suprimentos global de EPI da COVID-19. Da mesma forma, enquanto a competição global por uma vacina se intensifica, é altamente provável que a cadeia de frio seja um alvo atrativo que estará no topo das listas de requisitos nacionais de coleta em todo o mundo.
O IBM Security X-Force está pronto para receber a comunidade da cadeia de suprimentos da COVID-19 em nossa plataforma Enterprise Intelligence Management, onde é possível compartilhar informações sobre ameaças e agir com base nas últimas inteligência de ameaças. A seguir estão recomendações para as organizações aumentarem sua prontidão cibernética em meio aos desenvolvimentos descritos neste blog:
Se a sua organização precisar de assistência imediata para resposta a incidentes, entre em contato diretamente com o IBM Security X-Force nos EUA: 1-888-241-9812 | Linha direta global (+001) 312-212-8034. Saiba mais sobre os serviços de inteligência de ameaças e resposta a incidentes do X-Force.
