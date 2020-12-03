Seguridad Operaciones de negocio

IBM descubre una campaña global de phishing dirigida a la cadena de frío de la vacuna contra la COVID-19.

Un médico extrayendo vacuna de un vial

Al inicio de la pandemia de COVID-19, IBM Security X-Force creó un grupo de trabajo de inteligencia de amenazas dedicado a rastrear las amenazas cibernéticas de la COVID-19 contra las organizaciones que mantienen en movimiento la cadena de suministro de vacunas. Como parte de estos esfuerzos, nuestro equipo descubrió recientemente una campaña global de phishing dirigida a organizaciones asociadas con una cadena de frío de la vacuna contra la COVID-19. La cadena de frío es un componente de la cadena de suministro de vacunas que garantiza la conservación segura de las vacunas en entornos con temperatura controlada durante su almacenamiento y transporte.

Nuestro análisis indica que esta operación calculada comenzó en septiembre de 2020. La campaña de pishing dirigida a la COVID-19 abarcó seis países y se dirigió a organizaciones probablemente asociadas con el programa Cold Chain Equipment Optimization Platform (CCEOP) de Gavi, The Vaccine Alliance, que explicamos más en este blog. Aunque no se ha podido atribuir con certeza esta campaña, la precisión con la que se ha seleccionado a los ejecutivos y a las organizaciones globales clave presenta las características potenciales de las técnicas de espionaje de los estados-nación.

Algunos detalles del análisis de IBM Security X-Force de esta actividad incluyen:

  • La historia principal: el adversario se hizo pasar por un ejecutivo de negocios de Haier Biomedical, una empresa miembro creíble y legítima de la cadena de suministro de vacunas contra la COVID-19 y proveedor calificado para el programa CCEOP. La empresa es supuestamente el único proveedor completo de cadena de frío del mundo. Disfrazado como este empleado, el adversario envió correos electrónicos de phishing a organizaciones que se creía que eran proveedores de apoyo material para satisfacer las necesidades de transporte dentro de la cadena de frío de las vacunas contra la COVID-19. Evaluamos que el propósito de esta campaña de phishing dirigida a la COVID-19 puede haber sido recopilar credenciales, posiblemente para obtener acceso no autorizado en el futuro a redes corporativas e información confidencial relacionada con la distribución de las vacunas contra la COVID-19.
  • Los objetivos: los objetivos incluían la Dirección General de Fiscalidad y Unión Aduanera de la Comisión Europea, así como organizaciones dentro de los sectores de energía, fabricación, creación de sitios web y soluciones de software y seguridad de Internet. Se trata de organizaciones globales con sede en Alemania, Italia, Corea del Sur, República Checa, Europa y Taiwán.
  • El cómo: se enviaron correos electrónicos de phishing focalizado a determinados ejecutivos de los departamentos de ventas, adquisiciones, tecnología de la información y finanzas, probablemente involucrados en los esfuerzos de la empresa para apoyar la cadena de frío de las vacunas. También identificamos casos en los que esta actividad se extendió a toda la organización para incluir páginas de ayuda y soporte de las organizaciones objetivo.

IBM Security X-Force ha seguido los protocolos de divulgación responsable y ha notificado a las entidades y autoridades pertinentes sobre esta operación dirigida.

Alerta para la cadena de suministro de las vacunas contra la COVID-19

IBM Security X-Force insta a las empresas de la cadena de suministro de las vacunas contra la COVID-19, desde la investigación de terapias, la prestación de atención médica hasta la distribución de una vacuna, a estar atentas y permanecer en alerta máxima durante este tiempo. Los gobiernos ya han advertido de que es probable que entidades extranjeras intenten llevar a cabo ciberespionaje para robar información sobre las vacunas. Hoy, junto con este blog, DHS CISA está emitiendo una alerta que insta a las organizaciones asociadas con el almacenamiento y transporte de una vacuna a revisar esta investigación y las mejores prácticas recomendadas a permanecer vigilantes.

Suplantación calculada para comprometer la cadena de frío de las vacunas contra la COVID-19

IBM Security X-Force descubrió objetivos en múltiples industrias, gobiernos y socios globales que apoyan el programa CCEOP. El CCEOP fue lanzado por Gavi, The Vaccine Alliance junto con el Fondo de las Naciones Unidas para la Infancia (UNICEF) y otros socios en 2015. Su objetivo es, en última instancia, fortalecer las cadenas de suministro de vacunas, optimizar la equidad en la inmunización y garantizar una respuesta médica ágil ante los brotes de enfermedades infecciosas. Varios tipos de medicamentos, y especialmente las vacunas, requieren almacenamiento y transporte en entornos con temperatura controlada para garantizar su conservación segura.

La iniciativa CCEOP está acelerando naturalmente los esfuerzos para facilitar la distribución de una vacuna contra la COVID-19. Una violación dentro de cualquier parte de esta alianza global podría resultar en la exposición de numerosos entornos informáticos asociados en todo el mundo.

Los correos electrónicos de phishing falsificados parecen provenir de un ejecutivo de negocios de Haier Biomedical, una empresa china que actualmente actúa como proveedor calificado para el programa CCEOP, en coordinación con la Organización Mundial de la Salud (OMS), UNICEF y otras agencias de la ONU. Es muy probable que el adversario haya elegido estratégicamente hacerse pasar por Haier Biomedical porque pretende ser el único proveedor completo de cadena de frío del mundo. Del mismo modo, el empleado de Haier Biomedical que supuestamente está enviando estos correos electrónicos probablemente estaría asociado con las operaciones de distribución de la cadena de frío de Haier Biomedical en función de su cargo, que figura en el bloque de firmas de correo electrónico.

A partir de nuestro análisis, no queda claro si la campaña de phishing contra la COVID-19 fue exitosa. Sin embargo, el papel establecido que Haier Biomedical desempeña actualmente en el transporte de vacunas, y su probable papel en la distribución de la vacuna contra la COVID-19, aumenta la probabilidad de que los objetivos previstos puedan interactuar con los correos electrónicos entrantes sin cuestionar la autenticidad del remitente.

Recolección de credenciales para un acceso más amplio

El asunto de los correos electrónicos de phishing se planteó como solicitudes de cotizaciones (RFQ) relacionadas con el programa CCEOP. Los correos electrónicos contienen archivos adjuntos HTML maliciosos que se abren localmente y solicitan a los destinatarios que ingresen sus credenciales para ver el archivo. Esta técnica de phishing ayuda a los atacantes a evitar configurar páginas de phishing en línea que los equipos de investigación de seguridad y las fuerzas del orden pueden descubrir y eliminar.

Evaluamos que el propósito de esta campaña puede haber sido recolectar credenciales para obtener acceso no autorizado en el futuro. A partir de ahí, el adversario podría obtener insight sobre las comunicaciones internas, así como el proceso, los métodos y los planes para distribuir una vacuna contra la COVID-19. Esto incluye información sobre la infraestructura que los gobiernos pretenden utilizar para distribuir una vacuna a los proveedores que la suministrarán. Sin embargo, más allá de la información crítica relacionada con la vacuna contra la COVID-19, el acceso del adversario podría extenderse más profundamente en los entornos de las víctimas. Moverse lateralmente por redes y permanecer allí en sigilo les permitiría realizar ciberespionaje y recopilar información confidencial adicional de los entornos víctimas para futuras operaciones.

Captura de pantalla de un correo electrónico de phishing enviado a ejecutivos de organizaciones relacionadas con la cadena de suministro de la vacuna contra la COVID-19.

Figura 1: Correo electrónico de phishing enviado a ejecutivos de organizaciones relacionadas con la cadena de suministro de vacunas contra la COVID-19.

Segmentación global

Dada la especialización y distribución global de las organizaciones objetivo en esta campaña, es muy probable que el adversario esté al tanto de los componentes y participantes críticos de la cadena de frío.

  • Dirección General de Fiscalidad y Unión Aduanera de la Comisión Europea : la Dirección General es responsable de promover la cooperación en materia aduanera y fiscal en toda la UE. Mantiene vínculos directos con múltiples redes de gobierno nacionales y está asociada con el comercio y la regulación. Atacar a esta entidad podría servir como un punto único de compromiso que afecte a múltiples objetivos de alto valor en los 27 estados miembro de la Unión Europea y más allá.
  • Sector energético: los objetivos del phishing focalizado incluían empresas involucradas en la fabricación de paneles solares. Una de las formas de mantener las vacunas refrigeradas en países donde no se dispone de un suministro eléctrico confiable es utilizar refrigeradores para vacunas que funcionan con paneles solares. Un compromiso de tales tecnologías podría resultar en el robo de propiedad intelectual o en el robo y venta de contenedores de envío de vacunas en mercados negros de todo el mundo. El objetivo también incluyó empresas asociadas con petroquímicos. Uno de los componentes clave de la cadena de frío es el uso de hielo seco, que es un subproducto de la producción de petróleo.
  • Sector de TI: entre los objetivos se encontraban una empresa surcoreana de desarrollo de software y una empresa alemana de desarrollo de sitios web. Esta última da soporte a múltiples clientes asociados con fabricantes farmacéuticos, transporte de contenedores, biotecnología y fabricantes de componentes eléctricos que permiten la navegación y las comunicaciones marítimas, terrestres y aéreas.

¿Quién es probable que esté detrás de estos ataques?

Si bien actualmente se desconoce la atribución, la precisión de los objetivos y la naturaleza de las organizaciones específicas atacadas potencialmente apuntan a la actividad de un estado-nación. Sin un camino claro hacia una salida de efectivo, es poco probable que los delincuentes cibernéticos dediquen el tiempo y los recursos necesarios para ejecutar operaciones calculadas con tantos objetivos interconectados y distribuidos globalmente. Del mismo modo, el insight sobre el transporte de una vacuna puede ser una materia prima caliente en el mercado negro; sin embargo, el insight avanzado sobre la compra y el movimiento de una vacuna que puede impactar la vida y la economía global probablemente sea un objetivo de alto valor y prioridad para los estados-nación.

A principios de 2020, IBM Security X-Force descubrió actividad en torno a la orientación de una cadena de suministro global de PPE respecto a la COVID-19. Del mismo modo, a medida que existe competencia mundial por una vacuna, es muy probable que la cadena de frío sea un objetivo convincente que encabezará las listas de requisitos nacionales de recolección en todo el mundo.

Recomendaciones para los defensores

IBM Security X-Force está listo para alojar a la comunidad de la cadena de suministro de la COVID-19 en nuestra plataforma Enterprise Intelligence Management, donde pueden compartir información sobre amenazas y tomar medidas sobre la inteligencia de amenazas más reciente. A continuación, se incluyen algunas recomendaciones para que las organizaciones aumenten su preparación cibernética ante los acontecimientos descritos en este blog:

  • Crear y probar planes de respuesta a incidentes para fortalecer la preparación de su organización para responder en caso de un ataque.
  • Compartir e ingerir inteligencia de amenazas. Las iniciativas y asociaciones para compartir amenazas son esenciales para mantenerse alerta sobre las últimas amenazas y tácticas de ataque que afectan a su industria. IBM Security X-Force ha estado alimentando esta inteligencia de amenazas en el enclave de intercambio de amenazas por la COVID-19. Al inicio de la pandemia, IBM hizo que este enclave fuera de libre acceso para cualquier organización que necesitara más atención sobre las amenazas cibernéticas.
  • Evalúe su ecosistema de terceros y los riesgos potenciales introducidos por socios externos. Confirme que cuenta con un sistema de supervisión sólido, controles de acceso y normas de seguridad que los socios externos deben cumplir.
  • Aplique un enfoque de confianza cero a su estrategia de seguridad. A medida que los entornos continúan expandiéndose, la gestión del acceso privilegiado se vuelve primordial para garantizar que los usuarios solo tengan acceso a los datos que son esenciales para su trabajo.
  • Utilice la autenticación multifactor (MFA) en toda su organización. La MFA funciona como un mecanismo de seguridad en caso de que un actor malintencionado haya obtenido acceso a sus credenciales. Como última línea de defensa, la MFA ofrece un segundo requisito de verificación para acceder a una cuenta.
  • Realice capacitaciones educativas periódicas sobre seguridad del correo electrónico para que los empleados permanezcan alerta sobre las tácticas de phishing y estén familiarizados con las mejores prácticas de seguridad del correo electrónico.
  • Utilice protección y respuesta de endpoint para detectar y evitar que las amenazas se propaguen más fácilmente por toda la organización.

Si su organización requiere asistencia inmediata con la respuesta a incidentes, comuníquese con la línea directa de IBM Security X-Force en EE. UU. al 1-888-241-9812 | Línea directa global (+001) 312-212-8034 Aprenda más sobre la inteligencia de amenazas y los servicios de respuesta a incidentes de X-Force.

