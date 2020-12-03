Zu Beginn der COVID-19-Pandemie richtete IBM Security X-Force eine Task Force für Threat-Intelligence ein, die sich der Aufspürung von COVID-19-Cyberbedrohungen gegen Unternehmen widmet, die die Lieferkette am Laufen halten. Im Rahmen dieser Bemühungen hat unser Team kürzlich eine globale Phishing-Kampagne aufgedeckt, die sich gegen Unternehmen richtet, die mit einer COVID-19-Kühlkette verbunden sind. Die Kühlkette ist eine Komponente der Impfstoff-Lieferkette, die die sichere Aufbewahrung von Impfstoffen in temperaturkontrollierten Umgebungen während ihrer Speicher und ihres Transports gewährleistet.
Unsere Analyse zeigt, dass diese berechnete Operation im September 2020 begann. Die COVID-19-Phishing-Kampagne erstreckte sich über sechs Länder und zielte auf Unternehmen ab, die wahrscheinlich mit Gavi, dem Cold Chain Equipment Optimization Platform (CCEOP) Programm der Vaccine Alliance, in Verbindung stehen, was wir in diesem Blog näher erläutern. Obwohl für diese Kampagne keine konkrete Firma ermittelt werden konnte, bergen die präzisen Angriffe auf Führungskräfte und wichtige globale Unternehmen das Potenzial, auf staatliche Vorgehensweisen hinzuweisen.
Einige Details aus der Analyse dieser Aktivität durch IBM Security X-Force:
IBM Security X-Force hat die Richtlinien für verantwortungsvolle Offenlegung befolgt und die zuständigen Stellen und Behörden über diese gezielte Operation informiert.
IBM Security X-Force appelliert an alle Unternehmen in der COVID-19-Lieferkette – von der Therapieforschung über die Gesundheitsversorgung bis hin zur Verteilung eines Impfstoffs –, in dieser Zeit wachsam zu sein und in höchster Alarmbereitschaft zu bleiben. Die Regierungen haben bereits davor gewarnt, dass ausländische Unternehmen wahrscheinlich versuchen werden, Cyberspionage zu betreiben, um Informationen über Impfstoffe zu stehlen. Heute gibt das DHS CISA in Verbindung mit diesem Blog eine Warnung heraus, in der Unternehmen, die mit der Speicher und dem Transport von Impfstoffen zu tun haben, aufgefordert werden, diese Forschung und die empfohlenen Best Practices zu überprüfen, um wachsam zu bleiben.
IBM Security X-Force deckte Ziele in mehreren Branchen, Regierungen und globalen Partnern auf, die das CCEOP-Programm unterstützen. Das CCEOP wurde 2015 von Gavi, der Vaccine Alliance, zusammen mit dem Kinderhilfswerk der Vereinten Nationen (UNICEF) und anderen Partnern ins Leben gerufen. Ihr Ziel ist es, die Lieferketten zu stärken, die Impfgerechtigkeit zu optimieren und eine flexible medizinische Reaktion auf Ausbrüche von Infektionskrankheiten sicherzustellen. Verschiedene Medikamentenklassen, insbesondere Impfstoffe, müssen in temperaturkontrollierten Umgebungen gelagert und transportiert werden, um ihre sichere Konservierung zu gewährleisten.
Die CCEOP-Initiative beschleunigt natürlich die Bemühungen, die Verteilung eines COVID-19-Impfstoffs zu erleichtern. Ein Verstoß innerhalb dieser globalen Allianz könnte zur Offenlegung zahlreicher Computerumgebungen von Partnern weltweit führen.
Die gefälschten Phishing-E-Mails scheinen von einem Geschäftsführer von Haier Biomedical zu stammen, einem chinesischen Unternehmen, das derzeit als qualifizierter Lieferant für das CCEOP-Programm fungiert, in Zusammenarbeit mit der Weltgesundheitsorganisation (WHO), UNICEF und anderen UN-Organisationen. Es ist sehr wahrscheinlich, dass der Angreifer sich strategisch für Haier Biomedical entschieden hat, weil das Unternehmen angeblich der weltweit einzige Anbieter einer vollständigen Kühlkette ist. Ebenso dürfte der Haier Biomedical-Mitarbeiter, der diese E-Mails angeblich versendet, aufgrund seiner in der E-Mail-Signatur aufgeführten Funktion mit den Kühlketten-Distributionsabläufen von Haier Biomedical in Verbindung stehen.
Aus unserer Analyse geht nicht eindeutig hervor, ob die Phishing-Kampagne im Zusammenhang mit COVID-19 erfolgreich war. Die etablierte Rolle, die Haier Biomedical derzeit beim Impfstofftransport spielt, und ihre wahrscheinliche Rolle bei der Verteilung der COVID-19-Impfstoffe, erhöhen jedoch die Wahrscheinlichkeit, dass die Zielpersonen mit den eingehenden E-Mails interagieren, ohne die Authentizität des Absenders in Frage zu stellen.
Der Betreff der Phishing-E-Mails, die als Angebotsanfragen (RFQ) im Zusammenhang mit dem CCEOP-Programm ausgegeben wurden. Die E-Mails enthalten bösartige HTML-Anhänge, die lokal geöffnet werden und die Empfänger auffordern, ihre Anmeldedaten einzugeben, um die Datei anzusehen. Diese Phishing-Technik hilft Angreifern, die Einrichtung von Phishing-Seiten im Internet zu vermeiden, die von Sicherheitsforschungsteams und Strafverfolgungsbehörden entdeckt und entfernt werden können.
Wir gehen davon aus, dass das Ziel dieser Kampagne darin bestand, Anmeldedaten zu sammeln, um sich zukünftig unbefugten Zugriff zu verschaffen. Von dort aus könnte der Gegner Erkenntnis in interne Kommunikation sowie in den Prozess, die Methoden und Pläne zur Verteilung eines COVID-19 gewinnen. Dazu gehören auch Informationen über die Infrastruktur, die die Regierungen für die Verteilung eines Impfstoffs an die Anbieter nutzen wollen, die ihn liefern werden. Neben kritischen Informationen über den COVID-19-Impfstoff könnte der Angreifer jedoch auch tiefer in die Umgebung der Opfer vordringen. Durch die seitliche Bewegung innerhalb von Netzwerken und das Verbleiben im Verborgenen könnten sie Cyberspionage betreiben und zusätzliche vertrauliche Informationen aus den Opferumgebungen für zukünftige Operationen sammeln.
Abbildung 1: Phishing-E-Mail, die an Führungskräfte in Unternehmen gesendet wurde, die mit der Lieferkette des COVID-19-Impfstoffs in Verbindung stehen.
Angesichts der Spezialisierung und der globalen Verteilung der Unternehmen, auf die diese Kampagne abzielte, ist es sehr wahrscheinlich, dass der Angreifer die kritischen Komponenten und Teilnehmer der Kühlkette genau kennt.
Obwohl die Urheberschaft derzeit unbekannt ist, deuten die präzise Zielauswahl und die Art der gezielt angegriffenen Unternehmen möglicherweise auf Aktivitäten von Nationalstaaten hin. Ohne einen klaren Weg zur Auszahlung des Erlöses werden Cyberkriminelle wahrscheinlich nicht die Zeit und die Ressourcen aufwenden, die für die Durchführung einer so kalkulierten Operation mit so vielen miteinander verknüpften und global verteilten Zielen erforderlich sind. Ebenso kann eine Erkenntnis in den Transport eines Impfstoffs ein heißes Gut auf dem Schwarzmarkt sein, aber eine fortgeschrittene Erkenntnis in den Kauf und die Bewegung eines Impfstoffs, die sich auf das Leben und die Weltwirtschaft auswirken kann, ist wahrscheinlich ein Ziel von hohem Wert und hoher Priorität für einen Staat.
Anfang 2020 deckte IBM Security X-Force Aktivitäten im Zusammenhang mit gezielten Angriffen auf eine globale COVID-19-PSA-Lieferkette auf. Da weltweit ein Wettlauf um einen Impfstoff stattfindet, ist es sehr wahrscheinlich, dass die Kühlkette ein wichtiges Ziel darstellt, das ganz oben auf der Liste der nationalen Sammelanforderungen weltweit stehen wird.
IBM Security X-Force steht bereit, die COVID-19-Lieferkette-Community auf unserer Enterprise Intelligence Management-Plattform zu empfangen, wo sie Threat-Intelligence austauschen und auf Basis der neuesten Threat-Intelligence Maßnahmen ergreifen können. Im Folgenden finden Sie Empfehlungen für Unternehmen, wie sie ihre Cyber-Bereitschaft angesichts der in diesem Blog beschriebenen Entwicklungen erhöhen können:
Wenn Ihr Unternehmen sofortige Unterstützung bei der Reaktion auf Zwischenfälle benötigt, wenden Sie sich bitte an die US-Hotline von IBM Security X-Force unter 1-888-241-9812 | Globale Hotline (+001) 312-212-8034 Mehr erfahren über die Threat-Intelligence und Incident-Response-Dienste von X-Force.
