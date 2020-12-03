All'inizio della pandemia di COVID-19, IBM Security X-Force ha creato una task force di threat intelligence dedicata a individuare le minacce informatiche contro le organizzazioni che mantengono in movimento la supply chain dei vaccini. Come parte di questi sforzi, il nostro team ha recentemente scoperto una campagna globale di phishing rivolta a organizzazioni associate a una catena del freddo del COVID-19. La catena del freddo è una componente della supply chain dei vaccini che garantisce la conservazione sicura dei vaccini in ambienti a temperatura controllata durante lo stoccaggio e il trasporto.
La nostra analisi indica che questa operazione calcolata è iniziata a settembre 2020. La campagna di phishing legata al COVID-19 si è estesa a sei paesi e ha preso di mira organizzazioni probabilmente associate al programma Cold Chain Equipment Optimization Platform (CCEOP) di Gavi, The Vaccine Alliance, che approfondiamo in questo blog. Sebbene non sia stata possibile un'attribuzione certa di questa campagna, il targeting preciso di dirigenti e organizzazioni globali chiave presenta potenziali caratteristiche di operazioni condotte da stati-nazione.
Alcuni dettagli dell'analisi di IBM Security X-Force su questa attività includono:
IBM Security X-Force ha seguito protocolli di divulgazione responsabili e ha notificato le entità e le autorità competenti riguardo a questa operazione mirata.
IBM Security X-Force esorta le aziende della supply chain del COVID-19 (dalla ricerca, alla erogazione sanitaria fino alla distribuzione di un vaccino) a essere vigili e a rimanere in massima allerta in questo periodo. I governi hanno già avvertito che entità straniere probabilmente tenteranno di condurre spionaggio informatico per rubare informazioni sui vaccini. Oggi, in concomitanza con questo blog, DHS CISA sta emettendo un avviso che invita le organizzazioni coinvolte nello stoccaggio e trasporto di vaccini a esaminare questa ricerca e le best practice raccomandate per mantenere alta la vigilanza.
IBM Security X-Force ha scoperto obiettivi provenienti da molteplici settori, governi e partner globali che supportano il programma CCEOP. Il CCEOP è stato lanciato da Gavi, The Vaccine Alliance insieme al Fondo delle Nazioni Unite per l'Infanzia (UNICEF) e altri partner nel 2015. Il suo obiettivo è quello di rafforzare le supply chain dei vaccini, ottimizzare l'equità dell'immunizzazione e garantire una risposta medica agile alle epidemie di malattie infettive. Diverse classi di farmaci, e in particolare i vaccini, richiedono stoccaggio e trasporto in ambienti a temperatura controllata per garantirne la conservazione sicura.
L'iniziativa CCEOP sta naturalmente accelerando gli sforzi per facilitare la distribuzione di un vaccino contro il COVID-19. Una violazione all'interno di qualsiasi parte di questa alleanza globale potrebbe portare all'esposizione di numerosi ambienti informatici partner in tutto il mondo.
Le e-mail di phishing falsificate sembrano provenire da un dirigente aziendale di Haier Biomedical, una società cinese che attualmente funge da fornitore qualificato per il programma CCEOP, in coordinamento con l'Organizzazione Mondiale della Sanità (OMS), l'UNICEF e altre agenzie delle Nazioni Unite. È molto probabile che l'avversario abbia scelto strategicamente di impersonare Haier Biomedical perché si sostiene che sia l'unico fornitore di catena del freddo completa al mondo. Allo stesso modo, il dipendente di Haier Biomedical che si suppone invii queste e-mail sarebbe probabilmente associato alle operazioni di distribuzione della catena del freddo di Haier Biomedical in base al suo ruolo, elencato nel blocco della firma e-mail.
Dalla nostra analisi non è chiaro se la campagna di phishing COVID-19 abbia avuto successo. Tuttavia, il ruolo consolidato che Haier Biomedical attualmente svolge nel trasporto dei vaccini, e il loro probabile ruolo nella distribuzione dei vaccini contro il COVID-19, aumenta la probabilità che gli obiettivi previsti possano interagire con le e-mail in arrivo senza mettere in discussione l'autenticità del mittente.
L'oggetto delle e-mail di phishing si presentava come richieste di preventivo (RFQ) relative al programma CCEOP. Le e-mail contengono allegati HTML dannosi che si aprono localmente, invitando i destinatari a inserire le proprie credenziali per visualizzare il file. Questa tecnica di phishing aiuta gli aggressori a evitare di creare pagine di phishing online che possono essere scoperte e rimosse dai team di ricerca sulla sicurezza e dalle forze dell'ordine.
Valutiamo che lo scopo di questa campagna possa essere stato quello di raccogliere credenziali per ottenere futuri accessi non autorizzati. Da lì, l'avversario potrebbe ottenere insight sulle comunicazioni interne, nonché sul processo, i metodi e i piani per distribuire un vaccino contro il COVID-19. Sono incluse informazioni riguardanti le infrastrutture che i governi intendono utilizzare per distribuire un vaccino ai fornitori che lo forniranno. Tuttavia, oltre alle informazioni critiche relative al vaccino COVID-19, l'accesso dell'avversario potrebbe estendersi più a fondo negli ambienti delle vittime. Muovendosi lateralmente attraverso le reti e rimanendo nascosto, potrebbe condurre attività di cyber spionaggio e raccogliere ulteriori informazioni riservate per operazioni future.
Figura 1: E-mail di phishing inviata ai dirigenti di organizzazioni relative alla supply chain del vaccino COVID-19.
Data la specializzazione e la distribuzione globale delle organizzazioni prese di mira in questa campagna, è molto probabile che l'avversario sia intimamente consapevole dei componenti critici e dei partecipanti alla catena del freddo.
Sebbene l'attribuzione sia attualmente sconosciuta, la precisione del targeting e la natura delle specifiche organizzazioni prese di mira indicano potenzialmente l'attività di uno stato-nazione. Senza una chiara possibilità di monetizzazione, i criminali informatici difficilmente investiranno il tempo e le risorse necessari per portare avanti un'operazione così calcolata con così tanti obiettivi interconnessi e distribuiti a livello globale. Allo stesso modo, l'insight sul trasporto di un vaccino può rappresentare una materia prima di tendenza sul mercato nero, tuttavia, un insight avanzato sull'acquisto e sulla circolazione di un vaccino che può avere un impatto sulla vita e sull'economia globale è probabilmente un obiettivo nazionale di alto valore e ad alta priorità.
All'inizio del 2020, IBM Security X-Force ha scoperto attività relative al targeting di una supply chain globale di DPI per il COVID-19. Allo stesso modo, mentre la competizione globale si fa serrata per un vaccino, è altamente probabile che la catena del freddo rappresenti un obiettivo rilevante e sia in cima alle liste delle priorità nazionali di raccolta dati a livello mondiale.
IBM Security X-Force è pronta ad ospitare la comunità della supply chain del COVID-19 sulla nostra piattaforma Enterprise Intelligence Management, dove potranno condividere informazioni sulle minacce e agire in base alle più recenti threat intelligence. Di seguito sono riportate le raccomandazioni per le organizzazioni che vogliono aumentare la loro preparazione informatica nel contesto degli sviluppi delineati in questo blog:
Se la tua organizzazione necessita di assistenza immediata per la risposta agli incidenti, contatta la linea diretta statunitense di IBM Security X-Force al numero 1-888-241-9812 | Linea diretta globale (+001) 312-212-8034 Scopri di più sui servizi di threat intelligence e risposta agli incidenti di X-Force.
