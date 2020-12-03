Al inicio de la pandemia de COVID-19, IBM Security X-Force creó un grupo de trabajo de inteligencia de amenazas dedicado a rastrear las ciberamenazas de COVID-19 contra las organizaciones que mantienen en movimiento la cadena de suministro de vacunas. Como parte de estos esfuerzos, nuestro equipo descubrió recientemente una campaña global de phishing dirigida a organizaciones asociadas con una cadena de frío COVID-19. La cadena de frío es un componente de la cadena de suministro de vacunas que garantiza su conservación segura en entornos de temperatura controlada durante su almacenamiento y transporte.
Nuestro análisis indica que esta operación calculada comenzó en septiembre de 2020. La campaña de phishing por COVID-19 abarcó seis países y se dirigió a organizaciones probablemente asociadas con Gavi, el programaCold Chain Equipment Optimization Platform (CCEOP) de The Vaccine Alliance, que explicamos más en detalle en este blog. Aunque no pudo establecerse una atribución firme para esta campaña, la precisión con la que se dirigió contra ejecutivos y organizaciones mundiales clave tiene el sello potencial de la habilidad comercial de un Estado nación.
Algunos detalles del análisis de IBM Security X-Force de esta actividad incluyen:
IBM Security X-Force ha seguido protocolos de divulgación responsables y ha notificado a las entidades y autoridades apropiadas sobre esta operación dirigida.
IBM Security X-Force insta a las empresas de la cadena de suministro de COVID-19 (desde la investigación de terapias o la prestación sanitaria hasta la distribución de una vacuna) a estar atentas y permanecer en alerta máxima durante este tiempo. Los gobiernos ya han advertido de que es probable que entidades extranjeras intenten realizar ciberespionaje para robar información sobre las vacunas. Hoy, en colaboración con este blog, el DHS CISA emite una alerta animando a las organizaciones relacionadas con el almacenamiento y transporte de vacunas a revisar esta investigación y las buenas prácticas recomendadas para mantenerse vigilantes.
IBM Security X-Force descubrió objetivos en múltiples sectores, gobiernos y socios globales que apoyan el programa CCEOP. El CCEOP lo lanzaron Gavi, The Vaccine Alliance junto con el Fondo de las Naciones Unidas para la Infancia (UNICEF) y otros partners en 2015. Su objetivo es, en última instancia, reforzar las cadenas de suministro de vacunas, optimizar la equidad de la inmunización y garantizar una respuesta médica ágil a los brotes de enfermedades infecciosas. Diversas clases de medicamentos, y especialmente vacunas, requieren almacenamiento y transporte en ambientes con temperatura controlada para garantizar su conservación segura.
La iniciativa CCEOP está acelerando naturalmente los esfuerzos para facilitar la distribución de una vacuna COVID-19. Una violación en cualquier parte de esta alianza global podría dar lugar a la exposición de numerosos entornos informáticos asociados en todo el mundo.
Los correos electrónicos falsificados de phishing parecen proceder de un ejecutivo de negocios de Haier Biomedical, una empresa china que actualmente actúa como proveedor cualificado del programa CCEOP, en coordinación con la Organización Mundial de la Salud (OMS), UNICEF y otras agencias de las Naciones Unidas. Es muy probable que el adversario haya optado estratégicamente por hacerse pasar por Haier Biomedical porque se supone que es el único proveedor completo de cadena de frío del mundo. Del mismo modo, el empleado de Haier Biomedical que supuestamente envía estos correos electrónicos probablemente estaría asociado con las operaciones de distribución de la cadena de frío de Haier Biomedical en función de su puesto, que figura en el bloque de firmas de correo electrónico.
Nuestro análisis no deja claro si la campaña de phishing COVID-19 tuvo éxito. Sin embargo, el papel establecido que Haier Biomedical desempeña actualmente en el transporte de vacunas, y su probable papel en la distribución de la vacuna COVID-19, aumenta la probabilidad de que los destinatarios previstos puedan interactuar con los correos electrónicos entrantes sin cuestionar la autenticidad del remitente.
El asunto de los correos electrónicos de phishing presentados como solicitudes de presupuesto (RFQ) relacionados con el programa CCEOP. Los correos electrónicos contienen adjuntos HTML maliciosos que se abren localmente, solicitando a los destinatarios que introduzcan sus credenciales para ver el archivo. Esta técnica de suplantación de identidad ayuda a los atacantes a evitar crear páginas de suplantación de identidad en Internet que los equipos de investigación de seguridad y las fuerzas del orden puedan descubrir y eliminar.
Consideramos que el propósito de esta campaña puede haber sido recopilar credenciales para obtener un acceso no autorizado en el futuro. A partir de ahí, el adversario podría obtener conocimiento sobre las comunicaciones internas, así como sobre el proceso, los métodos y los planes de distribución de la vacuna COVID-19. Esto incluye información sobre la infraestructura que los gobiernos pretenden utilizar para distribuir una vacuna a los proveedores que la suministrarán. Sin embargo, más allá de la información crítica relacionada con la vacuna de COVID-19, el acceso del adversario podría extenderse más profundamente en los entornos de las víctimas. Moverse lateralmente por redes y permanecer allí en sigilo les permitiría realizar ciberespionaje y recopilar información confidencial adicional de los entornos víctimas para futuras operaciones.
Figura 1: Correo electrónico de phishing enviado a ejecutivos de organizaciones relacionadas con la cadena de suministro de la vacuna COVID-19.
Dada la especialización y distribución global de las organizaciones objetivo en esta campaña, es muy probable que el adversario esté al tanto de los componentes y participantes críticos de la cadena de frío.
Aunque actualmente se desconoce la atribución, la precisión de la orientación y la naturaleza de las organizaciones específicas apuntan potencialmente a la actividad de un Estado nación. Sin un camino claro hacia un cash-out, es poco probable que los ciberdelincuentes dediquen el tiempo y los recursos necesarios para ejecutar una operación tan calculada con tantos objetivos interconectados y distribuidos globalmente. Del mismo modo, el conocimiento sobre el transporte de una vacuna puede ser una materia prima caliente en el mercado negro; sin embargo, el conocimiento avanzado sobre la compra y el movimiento de una vacuna que puede impactar la vida y la economía global probablemente sea un objetivo de alto valor y prioridad para los Estados nación.
A principios de 2020, IBM Security X-Force descubrió actividad en torno al objetivo de una cadena de suministro global de EPI para la COVID-19. Del mismo modo, a medida que se desarrolla la competición mundial por una vacuna, es muy probable que la cadena de frío sea un objetivo convincente que encabezará las listas de requisitos nacionales de recogida en todo el mundo.
IBM Security X-Force está listo para alojar a la comunidad de la cadena de suministro de la COVID-19 en nuestra plataforma Enterprise Intelligence Management, donde pueden compartir información sobre amenazas y tomar medidas sobre la inteligencia de amenazas más reciente. A continuación se ofrecen recomendaciones para que las organizaciones aumenten su preparación cibernética en medio de los acontecimientos descritos en este blog:
Si su organización necesita ayuda inmediata para responder a los incidentes, póngase en contacto con la línea directa estadounidense de IBM Security X-Force 1-888-241-9812 | Línea directa global (+001) 312-212-8034 Más información sobre los servicios de inteligencia de amenazas y respuesta a incidentes de X-Force.
|Hashes SHA256
|d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
|ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
|7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
|e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
|a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
|07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
|7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
|7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
|83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
|6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
|75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
|b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
|33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
|a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
|68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
|0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
|61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
|0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
|9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
|49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
|8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
|61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
|93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
|c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
|d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
|3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
|d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
|28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895
hxxps://e-mailer.cf/next[.]php
hxxps://e-mailer.ga/next[.]php
hxxps://nwa-oma2.ml/next[.]php
hxxps://routermanager.ga/next[.]php
hxxps://routermanager.gq/next[.]php
hxxps://routermanager.ml/next[.]php
hxxps://routermanagers.cf/next[.]php
hxxps://routermanagers.ga/next[.]php
hxxps://routermanagers.gq/next[.]php
hxxps://routermanagers.ml/next[.]php
hxxps://serverrouter.cf/next[.]php
hxxps://serverrouter.ga/next[.]php
hxxps://serversrouter.cf/next[.]php
hxxps://serversrouter.gq/next[.]php
hxxps://nwa-oma.ml/next[.]php
yongbinxu@haierbiomedical[.]com
Direcciones SOA de DNS
rahim[@]protonmail[.]com
kilode[@]cock.li.
hxxps://mailerdeamon[.]cf
hxxps://mailerdeamon[.]ga
hxxps://mailerdeamon[.]gq
hxxps://mailerdeamon[.]ml
hxxps://mailerdeamon[.]tk
hxxps://routermanager[.]tk
hxxps://routermanagers[.]tk
hxxps://serverrouter[.]tk