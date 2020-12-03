Seguridad Operaciones de negocio

IBM descubre una campaña mundial de phishing dirigida a la cadena de frío de la vacuna COVID-19.

Médico extrayendo la vacuna del vial

Autor

Claire Zaboeva

Senior Strategic Cyber Threat Analyst

IBM

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Al inicio de la pandemia de COVID-19, IBM Security X-Force creó un grupo de trabajo de inteligencia de amenazas dedicado a rastrear las ciberamenazas de COVID-19 contra las organizaciones que mantienen en movimiento la cadena de suministro de vacunas. Como parte de estos esfuerzos, nuestro equipo descubrió recientemente una campaña global de phishing dirigida a organizaciones asociadas con una cadena de frío COVID-19. La cadena de frío es un componente de la cadena de suministro de vacunas que garantiza su conservación segura en entornos de temperatura controlada durante su almacenamiento y transporte.

Nuestro análisis indica que esta operación calculada comenzó en septiembre de 2020. La campaña de phishing por COVID-19 abarcó seis países y se dirigió a organizaciones probablemente asociadas con Gavi, el programaCold Chain Equipment Optimization Platform (CCEOP) de The Vaccine Alliance, que explicamos más en detalle en este blog. Aunque no pudo establecerse una atribución firme para esta campaña, la precisión con la que se dirigió contra ejecutivos y organizaciones mundiales clave tiene el sello potencial de la habilidad comercial de un Estado nación.

Algunos detalles del análisis de IBM Security X-Force de esta actividad incluyen:

  • La historia de portada: el adversario se hizo pasar por un ejecutivo de negocios de Haier Biomedical, una empresa miembro creíble y legítima de la cadena de suministro de vacunas COVID-19 y proveedor calificado para el programa CCEOP. La empresa es supuestamente el único proveedor completo de cadenas de frío del mundo. Disfrazado como este empleado, el adversario envió correos electrónicos de phishing a organizaciones que se creía que eran proveedores de apoyo material para satisfacer las necesidades de transporte dentro de la cadena de frío COVID-19. Creemos que el propósito de esta campaña de phishing COVID-19 puede haber sido recopilar credenciales, posiblemente para obtener acceso no autorizado en el futuro a redes corporativas e información confidencial relacionada con la distribución de la vacuna COVID-19.
  • Los objetivos: los objetivos incluían la Dirección General de Fiscalidad y Unión Aduanera de la Comisión Europea, así como a organizaciones de los sectores de la energía, la fabricación, la creación de sitios web y las soluciones de software y seguridad en Internet. Se trata de organizaciones globales con sede en Alemania, Italia, Corea del Sur, República Checa, Europa y Taiwán.
  • El cómo: se enviaron correos electrónicos de spear phishing a ejecutivos seleccionados en puestos de ventas, compras, tecnología y finanzas, probablemente involucrados en los esfuerzos de la empresa para apoyar una cadena de frío de vacunas. También identificamos casos en los que esta actividad se extendía a toda la organización para incluir páginas de ayuda y apoyo de organizaciones objetivo.

IBM Security X-Force ha seguido protocolos de divulgación responsables y ha notificado a las entidades y autoridades apropiadas sobre esta operación dirigida.

Alerta para la cadena de suministro de COVID-19

IBM Security X-Force insta a las empresas de la cadena de suministro de COVID-19 (desde la investigación de terapias o la prestación sanitaria hasta la distribución de una vacuna) a estar atentas y permanecer en alerta máxima durante este tiempo. Los gobiernos ya han advertido de que es probable que entidades extranjeras intenten realizar ciberespionaje para robar información sobre las vacunas. Hoy, en colaboración con este blog, el DHS CISA emite una alerta animando a las organizaciones relacionadas con el almacenamiento y transporte de vacunas a revisar esta investigación y las buenas prácticas recomendadas para mantenerse vigilantes.

Suplantación calculada para comprometer la cadena de frío de la COVID-19

IBM Security X-Force descubrió objetivos en múltiples sectores, gobiernos y socios globales que apoyan el programa CCEOP. El CCEOP lo lanzaron Gavi, The Vaccine Alliance junto con el Fondo de las Naciones Unidas para la Infancia (UNICEF) y otros partners en 2015. Su objetivo es, en última instancia, reforzar las cadenas de suministro de vacunas, optimizar la equidad de la inmunización y garantizar una respuesta médica ágil a los brotes de enfermedades infecciosas. Diversas clases de medicamentos, y especialmente vacunas, requieren almacenamiento y transporte en ambientes con temperatura controlada para garantizar su conservación segura.

La iniciativa CCEOP está acelerando naturalmente los esfuerzos para facilitar la distribución de una vacuna COVID-19. Una violación en cualquier parte de esta alianza global podría dar lugar a la exposición de numerosos entornos informáticos asociados en todo el mundo.

Los correos electrónicos falsificados de phishing parecen proceder de un ejecutivo de negocios de Haier Biomedical, una empresa china que actualmente actúa como proveedor cualificado del programa CCEOP, en coordinación con la Organización Mundial de la Salud (OMS), UNICEF y otras agencias de las Naciones Unidas. Es muy probable que el adversario haya optado estratégicamente por hacerse pasar por Haier Biomedical porque se supone que es el único proveedor completo de cadena de frío del mundo. Del mismo modo, el empleado de Haier Biomedical que supuestamente envía estos correos electrónicos probablemente estaría asociado con las operaciones de distribución de la cadena de frío de Haier Biomedical en función de su puesto, que figura en el bloque de firmas de correo electrónico.

Nuestro análisis no deja claro si la campaña de phishing COVID-19 tuvo éxito. Sin embargo, el papel establecido que Haier Biomedical desempeña actualmente en el transporte de vacunas, y su probable papel en la distribución de la vacuna COVID-19, aumenta la probabilidad de que los destinatarios previstos puedan interactuar con los correos electrónicos entrantes sin cuestionar la autenticidad del remitente.

Recopilación de credenciales para un acceso más amplio

El asunto de los correos electrónicos de phishing presentados como solicitudes de presupuesto (RFQ) relacionados con el programa CCEOP. Los correos electrónicos contienen adjuntos HTML maliciosos que se abren localmente, solicitando a los destinatarios que introduzcan sus credenciales para ver el archivo. Esta técnica de suplantación de identidad ayuda a los atacantes a evitar crear páginas de suplantación de identidad en Internet que los equipos de investigación de seguridad y las fuerzas del orden puedan descubrir y eliminar.

Consideramos que el propósito de esta campaña puede haber sido recopilar credenciales para obtener un acceso no autorizado en el futuro. A partir de ahí, el adversario podría obtener conocimiento sobre las comunicaciones internas, así como sobre el proceso, los métodos y los planes de distribución de la vacuna COVID-19. Esto incluye información sobre la infraestructura que los gobiernos pretenden utilizar para distribuir una vacuna a los proveedores que la suministrarán. Sin embargo, más allá de la información crítica relacionada con la vacuna de COVID-19, el acceso del adversario podría extenderse más profundamente en los entornos de las víctimas. Moverse lateralmente por redes y permanecer allí en sigilo les permitiría realizar ciberespionaje y recopilar información confidencial adicional de los entornos víctimas para futuras operaciones.

Captura de pantalla de un correo electrónico de phishing enviado a ejecutivos de organizaciones relacionadas con la cadena de suministro de la vacuna COVID-19.

Figura 1: Correo electrónico de phishing enviado a ejecutivos de organizaciones relacionadas con la cadena de suministro de la vacuna COVID-19.

Segmentación global

Dada la especialización y distribución global de las organizaciones objetivo en esta campaña, es muy probable que el adversario esté al tanto de los componentes y participantes críticos de la cadena de frío.

  • Dirección General de Fiscalidad y Unión Aduanera de la Comisión Europea: la Dirección General es responsable de promover la cooperación en materia aduanera y fiscal en toda la UE. Mantiene vínculos directos con múltiples redes gubernamentales nacionales y está asociada al comercio y la regulación. Atacar esta entidad podría servir como un punto único de compromiso que afecte a múltiples objetivos de alto valor en los 27 estados miembros de la Unión Europea y más allá.
  • Sector energético: los objetivos del spear phishing incluían empresas involucradas en la fabricación de paneles solares. Una de las formas de mantener frías las vacunas en los países donde no es posible disponer de energía eléctrica fiable es utilizar refrigeradores para vacunas alimentados por paneles solares. Un compromiso de estas tecnologías podría resultar en robo de propiedad intelectual o en el robo y venta de contenedores de vacunas en mercados negros de todo el mundo. El objetivo también incluía empresas asociadas a la petroquímica. Entre los componentes clave de la cadena de frío se encuentra el uso de hielo seco, que es un subproducto de la producción de petróleo.
  • Sector de TI: entre los objetivos estaban una empresa surcoreana de desarrollo de software y una empresa alemana de desarrollo de sitios web. Esta última presta apoyo a múltiples clientes relacionados con los fabricantes de productos farmacéuticos, el transporte de contenedores, la biotecnología y los fabricantes de componentes eléctricos que permiten la navegación y las comunicaciones marítimas, terrestres y aéreas.

¿Quién es probable que esté detrás de estos ataques?

Aunque actualmente se desconoce la atribución, la precisión de la orientación y la naturaleza de las organizaciones específicas apuntan potencialmente a la actividad de un Estado nación. Sin un camino claro hacia un cash-out, es poco probable que los ciberdelincuentes dediquen el tiempo y los recursos necesarios para ejecutar una operación tan calculada con tantos objetivos interconectados y distribuidos globalmente. Del mismo modo, el conocimiento sobre el transporte de una vacuna puede ser una materia prima caliente en el mercado negro; sin embargo, el conocimiento avanzado sobre la compra y el movimiento de una vacuna que puede impactar la vida y la economía global probablemente sea un objetivo de alto valor y prioridad para los Estados nación.

A principios de 2020, IBM Security X-Force descubrió actividad en torno al objetivo de una cadena de suministro global de EPI para la COVID-19. Del mismo modo, a medida que se desarrolla la competición mundial por una vacuna, es muy probable que la cadena de frío sea un objetivo convincente que encabezará las listas de requisitos nacionales de recogida en todo el mundo.

Recomendaciones para los defensores

IBM Security X-Force está listo para alojar a la comunidad de la cadena de suministro de la COVID-19 en nuestra plataforma Enterprise Intelligence Management, donde pueden compartir información sobre amenazas y tomar medidas sobre la inteligencia de amenazas más reciente. A continuación se ofrecen recomendaciones para que las organizaciones aumenten su preparación cibernética en medio de los acontecimientos descritos en este blog:

  • Cree y pruebe planes de respuesta a incidentes para fortalecer la preparación y disposición de su organización ante un ataque.
  • Comparta y consuma inteligencia de amenazas. Las iniciativas y alianzas de intercambio de amenazas son esenciales para mantenerse alerta ante las últimas amenazas y tácticas de ataque que afectan a su sector. IBM Security X-Force ha estado alimentando esta inteligencia de amenazas en el enclave de intercambio de amenazas COVID-19. Al inicio de la pandemia, IBM hizo que este enclave fuera de libre acceso para cualquier organización que necesitara más atención sobre las ciberamenazas.
  • Evalúe su ecosistema de terceros y evalúe los riesgos potenciales introducidos por partners externos. Confirme que cuenta con normas sólidas de monitorización, control de acceso y seguridad que los partners externos deben cumplir.
  • Aplique un enfoque zero trust a su estrategia de seguridad. A medida que los entornos continúan expandiéndose, la gestión del acceso con privilegios se vuelve primordial para garantizar que los usuarios solo tengan acceso a los datos que son esenciales para su trabajo.
  • Utilice autenticación multifactor (MFA) en toda su organización. La MFA funciona como un mecanismo de seguridad en caso de que un actor malintencionado haya obtenido acceso a sus credenciales. Como última línea de defensa, la MFA ofrece un segundo requisito de verificación para acceder a una cuenta.
  • Realice formaciones periódicas sobre seguridad del correo electrónico para que los empleados permanezcan alerta sobre las tácticas de phishing y estén familiarizados con las buenas prácticas de seguridad del correo electrónico.
  • Utilice herramientas de protección y respuesta de endpoint para detectar y prevenir que las amenazas se propaguen por toda la organización.

Si su organización necesita ayuda inmediata para responder a los incidentes, póngase en contacto con la línea directa estadounidense de IBM Security X-Force 1-888-241-9812 | Línea directa global (+001) 312-212-8034 Más información sobre los servicios de inteligencia de amenazas y respuesta a incidentes de X-Force.

