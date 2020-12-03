Pada awal pandemi COVID 19, IBM® Security X-Force menciptakan satuan tugas intelijen ancaman khusus untuk melacak ancaman siber COVID 19 terhadap organisasi yang menjaga rantai pasokan vaksin tetap bergerak. Sebagai bagian dari upaya ini, tim kami baru-baru ini menemukan kampanye phishing global yang menargetkan organisasi yang terkait dengan rantai dingin COVID 19. Rantai dingin adalah komponen dari rantai pasokan vaksin yang memastikan pengawetan vaksin yang aman di lingkungan yang terkendali suhunya selama penyimpanan dan pengangkutan.
Analisis kami menunjukkan bahwa operasi yang dihitung ini dimulai pada September 2020. Kampanye phishing COVID 19 menjangkau enam negara dan menargetkan organisasi yang kemungkinan terkait dengan Gavi, programCold Chain Equipment Optimization Platform (CCEOP) milik The Vaccine Alliance, yang kami jelaskan lebih lanjut di blog ini. Meskipun atribusi yang pasti tidak dapat dibuat untuk kampanye ini, penargetan yang tepat terhadap para eksekutif dan organisasi-organisasi global utama memiliki potensi ciri khas perdagangan negara-bangsa.
Beberapa detail dari analisis IBM® Security X-Force tentang kegiatan ini meliputi:
IBM® Security X-Force telah mengikuti protokol pengungkapan yang bertanggung jawab dan memberi tahu entitas dan otoritas yang sesuai tentang operasi yang ditargetkan ini.
Buletin industri
Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
IBM® Security X-Force mendorong perusahaan dalam rantai pasokan COVID 19 — dari riset terapi, pemberian layanan kesehatan hingga distribusi vaksin — untuk waspada dan tetap waspada selama waktu ini. Pemerintah telah memperingatkan bahwa entitas asing kemungkinan besar akan mencoba melakukan spionase siber untuk mencuri informasi tentang vaksin. Hari ini, dalam hubungannya dengan blog ini, DHS CISA mengeluarkan peringatan yang mendorong organisasi yang terkait dengan penyimpanan dan transportasi vaksin untuk meninjau riset ini dan praktik terbaik yang direkomendasikan untuk tetap waspada.
IBM® Security X-Force menemukan target di berbagai industri, pemerintah, dan mitra global yang mendukung programCCEOP. CCEOP diluncurkan oleh Gavi, The Vaccine Alliance bersama dengan United Nations Children Fund (UNICEF) dan mitra lainnya pada tahun 2015. Tujuannya adalah untuk pada akhirnya memperkuat rantai pasokan vaksin, mengoptimalkan kesetaraan imunisasi dan memastikan respons medis yang tangkas terhadap wabah penyakit menular. Berbagai kelas obat, dan terutama vaksin, memerlukan penyimpanan dan pengangkutan dalam lingkunganyang terkendali suhunya untuk memastikan pengawetan yang aman.
Inisiatif CCEOP secara alami mempercepat upaya untuk memfasilitasi distribusi vaksin COVID 19. Pelanggaran dalam bagian mana pun dari aliansi global ini dapat mengakibatkan terpapar berbagai lingkungan komputasi mitra di seluruh dunia.
Email phishing palsu tampaknya berasal dari seorang eksekutif bisnis dari Haier Biomedical, sebuah perusahaan Tiongkok yang saat ini bertindak sebagai pemasok yang memenuhi syarat untuk program CCEOP, berkoordinasi dengan Organisasi Kesehatan Dunia (WHO), UNICEF dan lembaga PBB lainnya. Sangat mungkin bahwa musuh secara strategis memilih untuk menyamar sebagai Haier Biomedical karena dianggap sebagai satu-satunya penyedia rantai dingin lengkap di dunia. Demikian juga, karyawan Haier Biomedical yang konon mengirim email ini kemungkinan akan dikaitkan dengan operasi distribusi rantai dingin Haier Biomedical berdasarkan perannya, yang tercantum dalam blok tanda tangan email.
Tidak jelas dari analisis kami apakah kampanye phishing COVID 19 berhasil. Namun, peran mapan yang dimainkan Haier Biomedical saat ini dalam transportasi vaksin, dan kemungkinan perannya dalam distribusi vaksin COVID 19, meningkatkan kemungkinan target yang dimaksud dapat terlibat dengan email masuk tanpa mempertanyakan keaslian pengirim.
Subjek email phishing diajukan sebagai permintaan penawaran (RFQ) terkait dengan program CCEOP. Email berisi lampiran HTML berbahaya yang terbuka secara lokal, meminta penerima untuk memasukkan kredensialnya untuk melihat file. Teknik phishing ini membantu penyerang menghindari pengaturan halaman phishing online yang dapat ditemukan dan dihapus oleh tim riset dan penegak hukum.
Kami menilai bahwa tujuan kampanye ini mungkin adalah untuk memanen kredensial untuk mendapatkan akses tidak sah di masa mendatang. Dari sana, musuh dapat memperoleh insight tentang komunikasi internal, serta proses, metode, dan rencana untuk mendistribusikan vaksin COVID 19. Ini termasuk informasi mengenai infrastruktur yang ingin digunakan pemerintah untuk mendistribusikan vaksin kepada vendor yang akan memasoknya. Namun, di luar informasi penting yang berkaitan dengan vaksin COVID 19, akses musuh dapat meluas lebih dalam ke lingkungan korban. Bergerak secara lateral melalui jaringan dan tetap di sana secara diam-diam akan memungkinkan mereka melakukan spionase siber dan mengumpulkan informasi rahasia tambahan dari lingkungan korban untuk operasi di masa depan.
Gambar 1: Email phishing dikirim ke eksekutif di organisasi yang terkait dengan rantai pasokan vaksin COVID 19.
Melihat spesialisasi dan sebaran global dari organisasi yang menjadi target kampanye ini, sangat mungkin bahwa pihak adversari memiliki pengetahuan mendalam tentang komponen-komponen penting dan para pelaku dalam rantai dingin.
Meskipun atribusinya saat ini belum diketahui, penargetan yang tepat dan sifat organisasi yang ditargetkan secara spesifik berpotensi mengarah pada aktivitas negara-bangsa. Tanpa jalur yang jelas menuju cash-out, penjahat siber tidak mungkin mencurahkan waktu dan sumber daya yang diperlukan untuk melaksanakan operasi yang dihitung seperti itu dengan begitu banyak target yang saling terkait dan terdistribusi secara global. Demikian juga, insight tentang pengangkutan vaksin dapat menghadirkan komoditas pasar gelap yang panas, namun, insight lanjutan tentang pembelian dan pergerakan vaksin yang dapat berdampak pada kehidupan dan ekonomi global kemungkinan merupakan target negara-bangsa bernilai tinggi dan prioritas tinggi.
Awal tahun 2020, IBM® Security X-Force menemukan aktivitas seputar penargetan rantai pasokan APD COVID 19 global. Demikian pula, ketika kompetisi global berlomba untuk vaksin, sangat mungkin rantai dingin adalah target yang menarik yang akan berada di puncak daftar persyaratan pengumpulan nasional di seluruh dunia.
IBM® Security X-Force siap untuk menjadi tuan rumah komunitas rantai pasokan COVID 19 di platform Enterprise Intelligence Management kami, di mana mereka dapat berbagi informasi ancaman dan mengambil tindakan atas intelijen ancaman terbaru. Berikut ini adalah rekomendasi bagi organisasi untuk meningkatkan kesiapan siber mereka di tengah perkembangan yang diuraikan dalam blog ini:
Jika organisasi Anda memerlukan bantuan segera dengan respon insiden, silakan hubungi hotline AS IBM® Security X-Force 1-888-241-9812 | Hotline global (+001) 312-212-8034 Pelajari lebih lanjut tentang intelijen ancaman dan layanan respons insiden X-Force.
|Hash SHA256
|d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
|ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
|7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
|e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
|a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
|07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
|7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
|7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
|83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
|6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
|75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
|b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
|33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
|a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
|68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
|0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
|61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
|0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
|9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
|49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
|8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
|61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
|93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
|c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
|d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
|3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
|d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
|28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895
hxxps://e-mailer.cf/next[.]php
hxxps://e-mailer.ga/next[.]php
hxxps://nwa-oma2.ml/next[.]php
hxxps://routermanager.ga/next[.]php
hxxps://routermanager.gq/next[.]php
hxxps://routermanager.ml/next[.]php
hxxps://routermanagers.cf/next[.]php
hxxps://routermanagers.ga/next[.]php
hxxps://routermanagers.gq/next[.]php
hxxps://routermanagers.ml/next[.]php
hxxps://serverrouter.cf/next[.]php
hxxps://serverrouter.ga/next[.]php
hxxps://serversrouter.cf/next[.]php
hxxps://serversrouter.gq/next[.]php
hxxps://nwa-oma.ml/next[.]php
yongbinxu@haierbiomedical[.]Com
Alamat SOA DNS
rahim[@]protonmail[.]com
kilode[@]cock.li.
hxxps://mailerdeamon[.]cf
hxxps://mailerdeamon[.]ga
hxxps://mailerdeamon[.]gq
hxxps://mailerdeamon[.]ml
hxxps://mailerdeamon[.]tk
hxxps://routermanager[.]tk
hxxps://routermanagers[.]Tk
hxxps://serverrouter[.]tk