코로나19 팬데믹이 시작되자 IBM® Security X-Force는 백신 공급망을 유지하는 조직을 대상으로 하는 코로나19 사이버 위협을 추적하는 전담 위협 인텔리전스 태스크포스를 만들었습니다. 이러한 노력의 일환으로 최근 저희 팀은 코로나19 콜드체인과 관련된 조직을 노리는 글로벌 피싱 캠페인을 발견했습니다. 콜드체인은 백신 공급망의 구성 요소로, 백신을 스토리지 및 운송하는 동안 온도가 제어되는 환경에서 백신을 안전하게 보존할 수 있도록 합니다.
분석에 따르면 이 계산된 작업은 2020년 9월에 시작되었습니다. 코로나19 피싱 캠페인은 6개 국가에 걸쳐 진행되었으며, 이 블로그에서 자세히 설명하는 백신연합의 콜드체인 장비 최적화 플랫폼(CCEOP) 프로그램인 Gavi와 관련된 조직을 표적으로 삼은 것으로 추정됩니다. 이 캠페인에 대한 확고한 기여도를 확립할 수는 없었지만 경영진과 주요 글로벌 조직을 정확하게 타겟팅하는 것은 국가 간 무역의 잠재적 특징을 지니고 있습니다.
이 활동에 대한 IBM Security X-Force의 분석에서 나온 몇 가지 세부 정보는 다음과 같습니다.
IBM Security X-Force는 책임 있는 공개 프로토콜을 준수하고 해당 표적 작업에 대해 관련 기관 및 당국에 알렸습니다.
IBM Security X-Force는 CCEOP 프로그램을 지원하는 여러 산업, 정부 및 글로벌 파트너들의 표적을 밝혀냈습니다. CCEOP는 2015년 Gavi, 백신연합, 유엔 아동기금(UNICEF) 및 기타 파트너들이 함께 출범시켰습니다. 궁극적으로 백신 공급망을 강화하고, 예방 접종 형평성을 최적화하며, 감염병 발생에 대한 민첩한 의료 대응을 보장하는 것이 목표입니다. 다양한 종류의 의약품, 특히 백신은 안전한 보존을 위해 온도 관리가 가능한 환경에서 보관 및 운송해야 합니다.
CCEOP 이니셔티브는 자연스럽게 코로나19 백신 배포를 촉진하기 위한 노력에 박차를 가하고 있습니다. 이 글로벌 연합의 어느 한 부분에서 침해가 발생하면 전 세계 수많은 파트너 컴퓨팅 환경이 노출될 수 있습니다.
스푸핑된 피싱 이메일은 현재 세계보건기구(WHO), 유니세프 및 기타 유엔 기관과 협력하여 CCEOP 프로그램의 적격 공급업체로 활동 중인 중국 기업 Haier Biomedical의 비즈니스 담당자가 보낸 것으로 보입니다. 공격자는 Haier Biomedical이 세계 유일의 완전한 콜드체인 공급업체로 알려져 있기 때문에 전략적으로 Haier Biomedical을 사칭하기로 결정했을 가능성이 높습니다. 마찬가지로, 이러한 이메일을 보낸 것으로 추정되는 Haier Biomedical 직원은 이메일 서명 블록에 나열된 역할에 따라 Haier Biomedical의 콜드체인 유통 운영과 관련이 있을 가능성이 높습니다.
코로나19 피싱 캠페인이 성공했는지는 분석 결과 불분명합니다. 그러나 현재 백신 운송에서 Haier Biomedical의 역할이 확립되어 있고 코로나19 백신 배포에서 Haier Biomedical의 역할 가능성이 높기 때문에 의도된 대상자가 발신자의 진위를 의심하지 않고 인바운드 이메일에 참여할 가능성이 높습니다.
피싱 이메일의 제목은 CCEOP 프로그램과 관련된 견적 요청(RFQ)으로 위장되었습니다. 이메일에는 로컬에서 열리는 악성 HTML 첨부 파일이 포함되어 있어 수신자에게 파일을 보려면 자격 증명을 입력하라는 메시지가 표시됩니다. 이 피싱 기법은 공격자가 보안 연구팀과 법 집행 기관에서 발견하고 삭제할 수 있는 온라인 피싱 페이지를 설정하는 것을 방지하는 데 도움이 됩니다.
이 캠페인의 목적은 향후 무단 액세스를 얻기 위한 자격 증명을 수집하는 것이었을 것으로 판단됩니다. 이를 통해 공격자는 내부 커뮤니케이션은 물론 코로나19 백신을 배포하는 프로세스, 방법 및 계획에 대한 인사이트를 얻을 수 있습니다. 여기에는 정부가 백신을 공급할 공급업체에 백신을 배포하는 데 사용하려는 인프라에 대한 정보가 포함됩니다. 그러나 공격자의 접근은 코로나19 백신과 관련된 중요한 정보를 넘어 피해자의 환경까지 더 깊숙이 확장될 수 있습니다. 네트워크를 가로질러 이동하고 은밀하게 남아 있으면 사이버 스파이 활동을 수행하고 향후 작전을 위해 피해자 환경에서 추가 기밀 정보를 수집할 수 있습니다.
그림 1: 코로나19 백신 공급망과 관련된 조직의 임원에게 발송된 피싱 이메일.
캠페인의 대상이 된 조직의 전문화와 글로벌 분포를 고려할 때, 공격자는 콜드체인의 중요한 구성 요소와 참여자를 잘 알고 있을 가능성이 높습니다.
현재 배후는 밝혀지지 않았지만, 정밀한 타겟팅과 특정 표적 조직의 특성으로 볼 때 국가 차원의 활동일 가능성이 있습니다. 현금 인출에 대한 명확한 경로가 없다면 사이버 범죄자들은 전 세계에 분산되어 있고 서로 연결된 수많은 표적을 대상으로 이러한 계산된 작전을 실행하는 데 필요한 시간과 자원을 투자하지 않을 것입니다. 마찬가지로 백신 운송에 대한 인사이트는 암시장에서 인기 있는 상품이 될 수 있지만, 생명과 세계 경제에 영향을 미칠 수 있는 백신의 구매와 이동에 대한 고급 인사이트는 국가가 우선순위가 높은 고가치 목표가 될 가능성이 높습니다.
2020년 초, IBM Security X-Force는 전 세계 코로나19 PPE 공급망을 표적으로 삼는 활동을 밝혀냈습니다. 마찬가지로, 전 세계적으로 백신을 확보하기 위한 경쟁이 치열해짐에 따라 콜드체인은 전 세계 국가 수집 요건 목록의 최우선 순위가 될 강력한 표적이 될 가능성이 높습니다.
IBM Security X-Force는 기업 인텔리전스 관리 플랫폼에서 코로나19 공급망 커뮤니티를 호스팅할 준비가 되어 있으며, 위협 정보를 공유하고 최신 위협 정보에 대응할 수 있습니다. 다음은 조직이 이 블로그에 설명된 개발 상황에서 사이버 준비를 강화하기 위한 권장 사항입니다.
조직에서 즉각적인 사고 대응 지원이 필요한 경우 IBM Security X-Force의 미국 핫라인 1-888-241-9812 | 글로벌 핫라인 (+001) 312-212-8034로 문의하세요. X-Force의 위협 인텔리전스 및 사고 대응 서비스에 대해 자세히 알아보세요.
