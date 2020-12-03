Al inicio de la pandemia de COVID-19, IBM Security X-Force creó un grupo de trabajo de inteligencia de amenazas dedicado a rastrear las amenazas cibernéticas de la COVID-19 contra las organizaciones que mantienen en movimiento la cadena de suministro de vacunas. Como parte de estos esfuerzos, nuestro equipo descubrió recientemente una campaña global de phishing dirigida a organizaciones asociadas con una cadena de frío de la vacuna contra la COVID-19. La cadena de frío es un componente de la cadena de suministro de vacunas que garantiza la conservación segura de las vacunas en entornos con temperatura controlada durante su almacenamiento y transporte.
Nuestro análisis indica que esta operación calculada comenzó en septiembre de 2020. La campaña de pishing dirigida a la COVID-19 abarcó seis países y se dirigió a organizaciones probablemente asociadas con el programa Cold Chain Equipment Optimization Platform (CCEOP) de Gavi, The Vaccine Alliance, que explicamos más en este blog. Aunque no se ha podido atribuir con certeza esta campaña, la precisión con la que se ha seleccionado a los ejecutivos y a las organizaciones globales clave presenta las características potenciales de las técnicas de espionaje de los estados-nación.
Algunos detalles del análisis de IBM Security X-Force de esta actividad incluyen:
IBM Security X-Force ha seguido los protocolos de divulgación responsable y ha notificado a las entidades y autoridades pertinentes sobre esta operación dirigida.
IBM Security X-Force insta a las empresas de la cadena de suministro de las vacunas contra la COVID-19, desde la investigación de terapias, la prestación de atención médica hasta la distribución de una vacuna, a estar atentas y permanecer en alerta máxima durante este tiempo. Los gobiernos ya han advertido de que es probable que entidades extranjeras intenten llevar a cabo ciberespionaje para robar información sobre las vacunas. Hoy, junto con este blog, DHS CISA está emitiendo una alerta que insta a las organizaciones asociadas con el almacenamiento y transporte de una vacuna a revisar esta investigación y las mejores prácticas recomendadas a permanecer vigilantes.
IBM Security X-Force descubrió objetivos en múltiples industrias, gobiernos y socios globales que apoyan el programa CCEOP. El CCEOP fue lanzado por Gavi, The Vaccine Alliance junto con el Fondo de las Naciones Unidas para la Infancia (UNICEF) y otros socios en 2015. Su objetivo es, en última instancia, fortalecer las cadenas de suministro de vacunas, optimizar la equidad en la inmunización y garantizar una respuesta médica ágil ante los brotes de enfermedades infecciosas. Varios tipos de medicamentos, y especialmente las vacunas, requieren almacenamiento y transporte en entornos con temperatura controlada para garantizar su conservación segura.
La iniciativa CCEOP está acelerando naturalmente los esfuerzos para facilitar la distribución de una vacuna contra la COVID-19. Una violación dentro de cualquier parte de esta alianza global podría resultar en la exposición de numerosos entornos informáticos asociados en todo el mundo.
Los correos electrónicos de phishing falsificados parecen provenir de un ejecutivo de negocios de Haier Biomedical, una empresa china que actualmente actúa como proveedor calificado para el programa CCEOP, en coordinación con la Organización Mundial de la Salud (OMS), UNICEF y otras agencias de la ONU. Es muy probable que el adversario haya elegido estratégicamente hacerse pasar por Haier Biomedical porque pretende ser el único proveedor completo de cadena de frío del mundo. Del mismo modo, el empleado de Haier Biomedical que supuestamente está enviando estos correos electrónicos probablemente estaría asociado con las operaciones de distribución de la cadena de frío de Haier Biomedical en función de su cargo, que figura en el bloque de firmas de correo electrónico.
A partir de nuestro análisis, no queda claro si la campaña de phishing contra la COVID-19 fue exitosa. Sin embargo, el papel establecido que Haier Biomedical desempeña actualmente en el transporte de vacunas, y su probable papel en la distribución de la vacuna contra la COVID-19, aumenta la probabilidad de que los objetivos previstos puedan interactuar con los correos electrónicos entrantes sin cuestionar la autenticidad del remitente.
El asunto de los correos electrónicos de phishing se planteó como solicitudes de cotizaciones (RFQ) relacionadas con el programa CCEOP. Los correos electrónicos contienen archivos adjuntos HTML maliciosos que se abren localmente y solicitan a los destinatarios que ingresen sus credenciales para ver el archivo. Esta técnica de phishing ayuda a los atacantes a evitar configurar páginas de phishing en línea que los equipos de investigación de seguridad y las fuerzas del orden pueden descubrir y eliminar.
Evaluamos que el propósito de esta campaña puede haber sido recolectar credenciales para obtener acceso no autorizado en el futuro. A partir de ahí, el adversario podría obtener insight sobre las comunicaciones internas, así como el proceso, los métodos y los planes para distribuir una vacuna contra la COVID-19. Esto incluye información sobre la infraestructura que los gobiernos pretenden utilizar para distribuir una vacuna a los proveedores que la suministrarán. Sin embargo, más allá de la información crítica relacionada con la vacuna contra la COVID-19, el acceso del adversario podría extenderse más profundamente en los entornos de las víctimas. Moverse lateralmente por redes y permanecer allí en sigilo les permitiría realizar ciberespionaje y recopilar información confidencial adicional de los entornos víctimas para futuras operaciones.
Figura 1: Correo electrónico de phishing enviado a ejecutivos de organizaciones relacionadas con la cadena de suministro de vacunas contra la COVID-19.
Dada la especialización y distribución global de las organizaciones objetivo en esta campaña, es muy probable que el adversario esté al tanto de los componentes y participantes críticos de la cadena de frío.
Si bien actualmente se desconoce la atribución, la precisión de los objetivos y la naturaleza de las organizaciones específicas atacadas potencialmente apuntan a la actividad de un estado-nación. Sin un camino claro hacia una salida de efectivo, es poco probable que los delincuentes cibernéticos dediquen el tiempo y los recursos necesarios para ejecutar operaciones calculadas con tantos objetivos interconectados y distribuidos globalmente. Del mismo modo, el insight sobre el transporte de una vacuna puede ser una materia prima caliente en el mercado negro; sin embargo, el insight avanzado sobre la compra y el movimiento de una vacuna que puede impactar la vida y la economía global probablemente sea un objetivo de alto valor y prioridad para los estados-nación.
A principios de 2020, IBM Security X-Force descubrió actividad en torno a la orientación de una cadena de suministro global de PPE respecto a la COVID-19. Del mismo modo, a medida que existe competencia mundial por una vacuna, es muy probable que la cadena de frío sea un objetivo convincente que encabezará las listas de requisitos nacionales de recolección en todo el mundo.
IBM Security X-Force está listo para alojar a la comunidad de la cadena de suministro de la COVID-19 en nuestra plataforma Enterprise Intelligence Management, donde pueden compartir información sobre amenazas y tomar medidas sobre la inteligencia de amenazas más reciente. A continuación, se incluyen algunas recomendaciones para que las organizaciones aumenten su preparación cibernética ante los acontecimientos descritos en este blog:
Si su organización requiere asistencia inmediata con la respuesta a incidentes, comuníquese con la línea directa de IBM Security X-Force en EE. UU. al 1-888-241-9812 | Línea directa global (+001) 312-212-8034 Aprenda más sobre la inteligencia de amenazas y los servicios de respuesta a incidentes de X-Force.
|Hashes SHA256
|d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
|ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
|7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
|e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
|a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
|07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
|7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
|7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
|83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
|6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
|75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
|b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
|33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
|a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
|68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
|0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
|61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
|0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
|9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
|49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
|8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
|61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
|93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
|c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
|d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
|3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
|28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895
hxxps://e-mailer.cf/next[.]php
hxxps://e-mailer.ga/next[.]php
hxxps://nwa-oma2.ml/next[.]php
hxxps://routermanager.ga/next[.]php
hxxps://routermanager.gq/next[.]php
hxxps://routermanager.ml/next[.]php
hxxps://routermanagers.cf/next[.]php
hxxps://routermanagers.ga/next[.]php
hxxps://routermanagers.gq/next[.]php
hxxps://routermanagers.ml/next[.]php
hxxps://serverrouter.cf/next[.]php
hxxps://serverrouter.ga/next[.]php
hxxps://serversrouter.cf/next[.]php
hxxps://serversrouter.gq/next[.]php
hxxps://nwa-oma.ml/next[.]php
yongbinxu@haierbiomedical[.]com
Direcciones SOA DNS
rahim[@]protonmail[.]com
kilode[@]cock.li.
hxxps://mailerdeamon[.]cf
hxxps://mailerdeamon[.]ga
hxxps://mailerdeamon[.]gq
hxxps://mailerdeamon[.]ml
hxxps://mailerdeamon[.]tk
hxxps://routermanager[.]tk
hxxps://routermanagers[.]tk
hxxps://serverrrouter[.]tk