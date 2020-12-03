Au début de la pandémie de COVID-19, IBM Security X-Force a créé un groupe de travail sur le renseignement sur les menaces dédié à la traque des cybermenaces liées à la COVID-19 visant les organisations qui assurent la continuité de la chaîne d’approvisionnement en vaccins. Dans le cadre de ces efforts, notre équipe a récemment découvert une campagne mondiale d’hameçonnage visant les organisations associées à la chaîne du froid du vaccin contre la COVID-19. La chaîne du froid est un composant de la chaîne d’approvisionnement en vaccins qui assure la conservation sûre des vaccins dans des environnements à température contrôlée pendant leur stockage et leur transport.
Notre analyse indique que cette opération calculée a débuté en septembre 2020. La campagne de phishing liée à la COVID-19 s’est étendue à six pays et a ciblé des organisations probablement associées au programme Cold Chain Equipment Optimization Platform (CCEOP) de Gavi, l’Alliance du Vaccin, que nous expliquons plus en détail dans cet article. Bien qu’aucune attribution ferme n’ait pu être établie pour cette campagne, le ciblage précis de cadres et d’organisations mondiales clés présente les caractéristiques potentielles d’un savoir-faire étatique.
Voici quelques informations tirées de l’analyse de cette activité par IBM Security X-Force :
IBM Security X-Force a suivi les protocoles de divulgation responsable et a notifié cette opération ciblée aux entités et autorités compétentes.
IBM Security X-Force recommande vivement aux entreprises de la chaîne d’approvisionnement de la COVID-19 – de la recherche de thérapies à la distribution d’un vaccin en passant par la prestation de soins de santé – d’être vigilantes et de rester en état d’alerte pendant cette période. Les gouvernements ont déjà averti que des entités étrangères tenteront probablement de mener du cyberespionnage pour voler des informations sur les vaccins. Aujourd’hui, en lien avec ce blog, le DHS CISA émet une alerte encourageant les organisations liées au stockage et au transport d’un vaccin à examiner cette recherche et les bonnes pratiques recommandées pour rester vigilantes.
IBM Security X-Force a révélé des cibles dans de multiples secteurs, gouvernements et partenaires mondiaux soutenant le programme CCEOP. Le CCEOP a été lancé par Gavi, l’Alliance du Vaccin, le Fonds des Nations Unies pour l’Enfance (UNICEF) et d’autres partenaires en 2015. Son objectif est de renforcer les chaînes d’approvisionnement en vaccins, d’optimiser l’équité en matière d’immunisation et de garantir une réponse médicale agile aux épidémies de maladies infectieuses. Diverses classes de médicaments, et en particulier les vaccins, nécessitent un stockage et un transport dans des environnements à température contrôlée pour garantir leur conservation en toute sécurité.
L’initiative CCEOP accélère naturellement les efforts visant à faciliter la distribution d’un vaccin contre la COVID-19. Une violation au sein de cette alliance mondiale pourrait entraîner l’exposition de nombreux environnements informatiques partenaires dans le monde entier.
Les e-mails d’hameçonnage usurpés semblent provenir d’un cadre commercial de Haier Biomedical, une entreprise chinoise agissant actuellement en tant que fournisseur qualifié pour le programme CCEOP, en coordination avec l’Organisation mondiale de la Santé (OMS), l’UNICEF et d’autres agences de l’ONU. Il est fort probable que l’adversaire ait stratégiquement choisi de se faire passer pour Haier Biomedical, car cette société est censée être le seul fournisseur mondial de chaîne du froid complète. De même, l’employé de Haier Biomedical qui est censé envoyer ces e-mails serait probablement associé aux opérations de distribution de la chaîne du froid de Haier Biomedical en raison de son rôle, qui est indiqué dans le bloc de signature des e-mails.
Notre analyse ne permet pas de savoir si la campagne d’hameçonnage COVID-19 a été couronnée de succès. Toutefois, le rôle établi que Haier Biomedical joue actuellement dans le transport des vaccins et son rôle probable dans la distribution du vaccin COVID-19 augmentent la probabilité que les cibles visées interagissent avec les e-mails entrants sans mettre en doute l’authenticité de l’expéditeur.
L’objet des e-mails d’hameçonnage était présenté comme des demandes de devis (RFQ) liées au programme CCEOP. Les courriels contiennent des pièces jointes HTML malveillantes qui s’ouvrent localement, invitant les destinataires à saisir leurs informations d’identification pour visualiser le fichier. Cette technique d’hameçonnage permet aux pirates d’éviter de créer des pages d’hameçonnage en ligne qui peuvent être découvertes et neutralisées par les équipes de recherche en sécurité et les forces de l’ordre.
Nous estimons que l’objectif de cette campagne était peut-être de collecter des identifiants afin d’obtenir un accès non autorisé à l’avenir. À partir de là, l’adversaire pourrait avoir des informations sur les communications internes, ainsi que sur le processus, les méthodes et les plans de distribution d’un vaccin contre la COVID-19. Il s’agit notamment d’informations concernant l’infrastructure que les gouvernements ont l’intention d’utiliser pour distribuer un vaccin aux vendeurs qui le fourniront. Cependant, au-delà des informations critiques relatives au vaccin COVID-19, l’accès de l’adversaire pourrait s’étendre plus profondément dans les environnements des victimes. Se déplacer latéralement à travers les réseaux et rester furtifs leur permettrait de mener du cyberespionnage et de collecter des informations confidentielles supplémentaires dans les environnements des victimes pour des opérations futures.
Figure 1 : E-mail de phishing envoyé aux dirigeants d’organisations liées à la chaîne d’approvisionnement des vaccins contre la COVID-19.
Compte tenu de la spécialisation et de la répartition mondiale des organisations visées par cette campagne, il est très probable que l’adversaire connaisse parfaitement les composants critiques et les participants de la chaîne du froid.
Bien que l’attribution soit inconnue pour le moment, la précision du ciblage et la nature des organisations ciblées pourraient indiquer une activité étatique. Sans perspective claire de gain financier, il est peu probable que des cybercriminels consacrent le temps et les ressources nécessaires à l’exécution d’une opération aussi calculée, avec autant de cibles interconnectées et réparties dans le monde entier. De même, si les informations sur le transport d’un vaccin peuvent représenter une marchandise prisée sur le marché noir, des informations avancées sur l’achat et le mouvement d’un vaccin susceptibles d’avoir un impact sur la vie et l’économie mondiale constituent probablement une cible prioritaire et de grande valeur pour un État-nation.
Au début de l’année 2020, IBM Security X-Force a découvert des activités entourant le ciblage d’une chaîne d’approvisionnement mondiale d’EPI COVID-19. De même, alors que la compétition mondiale fait rage pour un vaccin, il est fort probable que la chaîne du froid soit une cible de choix qui figurera en tête des listes d’exigences de collecte nationales dans le monde entier.
IBM Security X-Force est prêt à accueillir la communauté de la chaîne d’approvisionnement de la COVID-19 sur notre plateforme Enterprise Intelligence Management, où elle pourra partager des informations sur les menaces et agir en fonction des derniers renseignements sur les menaces. Les recommandations suivantes permettent aux entreprises d’améliorer leur cyberpréparation dans le cadre des développements décrits dans ce blog :
Si votre organisation a besoin d’une assistance immédiate pour la réponse aux incidents, veuillez contacter la ligne directe américaine d’IBM Security X-Force au 1-888-241-9812 | Ligne d’assistance mondiale (+001) 312-212-8034. En savoir plus sur les renseignements sur les menaces et les services de réponse aux incidents de X-Force.
