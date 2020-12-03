الأمن عمليات الأعمال

IBM تكشف عن حملة تصيد احتيالي عالمية تستهدف سلسلة تبريد لقاح كوفيد-19.

طبيب يسحب لقاحًا من قنينة

مؤلف

Claire Zaboeva

Senior Strategic Cyber Threat Analyst

IBM

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

في بداية تفشي جائحة كوفيد-19، أنشأت IBM Security X-Force فريق عمل لاستعلامات التهديدات مخصص لتعقب التهديدات الإلكترونية المتعلقة بكوفيد-19 والتي تستهدف المؤسسات التي تحافظ على سير سلسلة توريد اللقاحات. وكجزء من هذه الجهود، كشف فريقنا مؤخرًا عن حملة تصيد احتيالي عالمية تستهدف المؤسسات المرتبطة بسلسلة تبريد لقاح كوفيد-19. تُعد سلسلة التبريد عنصرًا من سلسلة توريد اللقاح تضمن الحفاظ الآمن على اللقاحات في بيئات ذات درجات حرارة معينة في أثناء تخزينها ونقلها.

تشير تحليلاتنا إلى أن هذه العملية المدروسة بدأت في سبتمبر 2020. شملت حملة التصيد الاحتيالي المتعلقة بكوفيد-19 ست دول، واستهدفت مؤسسات على الأرجح ذات صلة ببرنامجتحسين معدات سلسلة التبريد (CCEOP) التابع لتحالف اللقاحات Gavi، والذي سنشرحه بمزيد من التفصيل في هذه المدونة. ورغم أنه لم يكن من الممكن تحديد الجهة المسؤولة عن هذه الحملة، إلا أن الاستهداف الدقيق للمسؤولين التنفيذيين والمؤسسات العالمية الكبرى يحمل السمات المميزة المحتملة لتجسس دولة قومية.

تتضمن بعض التفاصيل الواردة في تحليل IBM Security X-Force لهذا النشاط ما يلي:

  • قصة الخداع — انتحل الخصم هوية مدير تنفيذي من شركة Haier Biomedical، وهي شركة موثوقة وشرعية وعضو في سلسلة توريد لقاح كوفيد-19 ومورد مؤهل ضمن برنامج CCEOP. ويُزعم أن الشركة هي المزود الوحيد لسلسلة التبريد الكاملة في العالم. منتحلاً هوية هذا الموظف، أرسل الخصم رسائل تصيد عبر البريد الإلكتروني إلى مؤسسات يُعتقد أنها تقدم الدعم المادي لتلبية احتياجات النقل ضمن سلسلة تبريد لقاح كوفيد-19. وحسب تقديرنا، قد يكون هدف حملة التصيد الاحتيالي المتعلقة بكوفيد-19 هذه جمع بيانات الاعتماد، ربما من أجل الحصول على صلاحية وصول غير مصرح بها مستقبلاً إلى شبكات الشركة والمعلومات الحساسة المتعلقة بتوزيع لقاح كوفيد-19.
  • الأهداف — شملت الأهداف المديرية العامة للضرائب والاتحاد الجمركي التابعة للمفوضية الأوروبية، بالإضافة إلى مؤسسات في قطاع الطاقة والصناعة وإنشاء المواقع الإلكترونية وحلول أمن البرمجيات والإنترنت. وهي مؤسسات عالمية تقع مقراتها في ألمانيا وإيطاليا وكوريا الجنوبية وجمهورية التشيك وأوروبا الكبرى وتايوان.
  • الكيفية — أُرسلت رسائل التصيد بالرمح عبر البريد الإلكتروني إلى مسؤولين تنفيذيين مختارين في أقسام المبيعات والمشتريات وتكنولوجيا المعلومات والشؤون المالية، ومن المحتمل أن يكونوا مشاركين في جهود الشركة لدعم سلسلة تبريد اللقاح. كما حددنا أيضًا حالات امتد فيها هذا النشاط على مستوى المؤسسة ليشمل صفحات المساعدة والدعم الخاصة بالمؤسسات المستهدفة.

اتبعت IBM Security X-Force بروتوكولات الإفصاح المسؤول وأبلغت الجهات والسلطات المختصة بهذه العملية المستهدفة.

تنبيه بشأن سلسلة توريد لقاح كوفيد-19

تحث IBM Security X-Force الشركات المشاركة في سلسلة توريد لقاح كوفيد-19 — بدءًا من أبحاث العلاجات، وتقديم الرعاية الصحية، إلى توزيع اللقاحات — على أن تكون يقظة وأن تبقى في حالة تأهب قصوى خلال هذه الفترة. وقد حذرت الحكومات بالفعل من احتمالية تنفيذ جهات أجنبية محاولات تجسس إلكتروني لسرقة معلومات عن اللقاحات. واليوم، وبالتزامن مع هذه المدونة، تُصدر وكالة الأمن الإلكتروني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي الأمريكية (DHS CISA) تنبيهًا يحث المؤسسات المعنية بتخزين ونقل اللقاحات على مراجعة هذا البحث وأفضل الممارسات الموصى بها للحفاظ على اليقظة.

الاحتيال المدروس لاختراق سلسلة تبريد لقاحات كوفيد-19

كشفت IBM Security X-Force عن أهداف عبر عدة مجالات وحكومات وشركاء عالميين يدعمون برنامجCCEOP. في عام 2015، أطلقت مؤسسة Gavi، تحالف اللقاحات، جنبًا إلى جنب مع منظمة الأمم المتحدة للطفولة (اليونيسيف)، وشركاء آخرون برنامج CCEOP. ويتمثل هدفه في النهاية في تعزيز سلاسل توريد اللقاحات، وتحسين المساواة في التطعيم، وضمان الاستجابة الطبية المرنة لتفشي الأمراض المعدية. تتطلب فئات مختلفة من الأدوية، وخاصة اللقاحات، التخزين والنقل في بيئاتذات درجات حرارة معينة لضمان الحفاظ عليها بأمان.

ومن الطبيعي أن تسهم مبادرة CCEOP في تسريع الجهود الرامية إلى تسهيل توزيع لقاح كوفيد-19. يمكن أن يؤدي أي خرق في أي جزء من هذا التحالف العالمي إلى تعرض العديد من بيئات الحوسبة الشريكة في جميع أنحاء العالم للخطر.

تبدو رسائل التصيد الاحتيالي المزيفة وكأنها صادرة عن مدير تنفيذي في شركة Haier Biomedical، وهي شركة صينية تعمل حاليًا كمورد مؤهل ضمن برنامج CCEOP، بالتنسيق مع منظمة الصحة العالمية (WHO)، واليونيسيف، وغيرها من وكالات الأمم المتحدة. ومن المحتمل جدًا أن يكون الخصم قد اختار بشكل إستراتيجي انتحال صفة شركة Haier Biomedical لأنه يُزعم أنها مزود سلسلة التبريد الكاملة الوحيد في العالم. وبالمثل، فإن موظف Haier Biomedical الذي يزعم أنه مرسل رسائل البريد الإلكتروني هذه من المرجح أن يكون مرتبطًا بعمليات توزيع سلسلة التبريد في Haier Biomedical بناءً على منصبه، والذي هو مدرج في قسم توقيع البريد الإلكتروني.

ولم يتضح من تحليلنا ما إذا كانت حملة التصيد الاحتيالي المتعلقة بكوفيد-19 قد نجحت أم لا. لكن الدور الراسخ الذي تؤديه Haier Biomedical حاليًا في نقل اللقاحات، والدور المحتمل لها في توزيع لقاح كوفيد-19، يزيد من احتمالية تفاعل الأهداف المقصودة مع رسائل البريد الإلكتروني الواردة من دون التشكيك في مصداقية المرسل.

جمع بيانات الاعتماد من أجل وصول أوسع

كان موضوع رسائل البريد الإلكتروني التصيدية يبين أنها طلبات عروض أسعار (RFQ) تتعلق ببرنامج CCEOP. تحتوي رسائل البريد الإلكتروني على مرفقات HTML خبيثة تفتح محليًا، وتطلب من المستلمين إدخال بيانات اعتمادهم لاستعراض الملف. تساعد تقنية التصيد هذه المهاجمين على تجنب إنشاء صفحات تصيد إلكترونية يمكن اكتشافها وحذفها من قبل فرق البحث الأمني وجهات إنفاذ القانون.

ووفق تقدرينا، قد يتمثل الغرض من هذه الحملة في جمع بيانات الاعتماد للحصول على صلاحية وصول غير مصرح بها في المستقبل. وعندئذٍ، يمكن للخصم أن يحصل على معارف حول الاتصالات الداخلية، بالإضافة إلى عملية وطرق وخطط توزيع لقاح كوفيد-19. ويشمل ذلك المعلومات المتعلقة بالبنية التحتية التي تنوي الحكومات استخدامها لتوزيع اللقاح على الموردين الذين سيوفرونه. ومع ذلك، بعيدًا عن المعلومات الحساسة المتعلقة بلقاح كوفيد-19، يمكن أن يمتد وصول الخصم إلى بيئات الضحايا. يمكن أن تسمح لهم الحركة الجانبية عبر الشبكات والبقاء فيها متخفيين بالتجسس الإلكتروني وجمع معلومات سرية إضافية من بيئات الضحايا بهدف تنفيذ عمليات في المستقبل.

لقطة شاشة لرسالة بريد إلكتروني تصيدية مرسلة إلى مسؤولين تنفيذيين في مؤسسات ذات صلة بسلسلة توريد لقاح كوفيد-19.

الشكل 1: رسالة بريد إلكتروني للتصيد الاحتيالي مرسلة إلى مسؤولين تنفيذيين في مؤسسات ذات صلة بسلسلة توريد لقاح كوفيد-19.

الاستهداف العالمي

نظرًا إلى التخصص والتوزيع العالمي للمؤسسات المستهدفة في هذه الحملة، فمن المرجح جدًا أن يكون الخصم على دراية وثيقة بالعناصر الحساسة والمشاركين في سلسلة التبريد.

  • المديرية العامة للضرائب والاتحاد الجمركي التابعة للمفوضية الأوروبية — المديرية العامة مسؤولة عن تعزيز التعاون في الأمور المتعلقة بالجمارك والضرائب عبر الاتحاد الأوروبي. ولديها علاقات مباشرة مع العديد من الشبكات الحكومية الوطنية وترتبط بشؤون التجارة والتنظيم. يمكن أن يكون استهداف هذه الهيئة بمثابة نقطة اختراق واحدة تؤثر في أهداف متعددة عالية القيمة عبر الدول الأعضاء البالغ عددها 27 دولة في الاتحاد الأوروبي وخارجه.
  • قطاع الطاقة — شملت أهداف التصيد بالرمح الشركات المشاركة في تصنيع الألواح الشمسية. تتمثل إحدى الطرق التي تحافظ على تبريد اللقاحات في الدول التي لا تتوفر فيها طاقة موثوقة في استخدام ثلاجات اللقاحات التي تعمل بالألواح الشمسية. قد يؤدي اختراق هذه التقنيات إلى سرقة الملكية الفكرية أو سرقة حاويات شحن اللقاحات وبيعها في الأسواق السوداء حول العالم. وشمل الاستهداف أيضًا شركات مرتبطة بمجال البتروكيماويات. ومن بين العناصر الرئيسية لسلسلة التبريد استخدام الثلج الجاف، وهو منتج ثانوي لإنتاج البترول.
  • قطاع تكنولوجيا المعلومات — كان من بين الأهداف شركة تطوير برمجيات من كوريا الجنوبية وشركة تطوير مواقع إلكترونية ألمانية. تدعم الأخيرة عدة عملاء مرتبطين بشركات تصنيع الأدوية، ونقل الحاويات، والتكنولوجيا الحيوية، وشركات تصنيع العناصر الكهربائية التي تتيح الملاحة والاتصالات البحرية والبرية والجوية.

من المرجح أن يكون وراء هذه الهجمات؟

على الرغم من أن الجهة المسؤولة غير معروفة حاليًا، إلا أن دقة الاستهداف وطبيعة المؤسسات المستهدفة بعينها تشير على الأرجح إلى أنه نشاط دولة قومية. ومن دون وجود مسار واضح لكسب أموال، فمن غير المرجح أن يكرس المجرمون الإلكترونيون الوقت والموارد اللازمة لتنفيذ مثل هذه العملية المدروسة مع وجود العديد من الأهداف المترابطة والموزعة عالميًا. وبالمثل، فإن المعارف بشأن نقل اللقاح قد تمثل سلعة رائجة في السوق السوداء، ومع ذلك، فإن المعارف المتقدمة حول شراء وحركة اللقاح والتي يمكن أن تؤثر في الحياة والاقتصاد العالمي من المرجح أن تكون هدفًا ذا قيمة عالية وأولوية قصوى بالنسبة إلى دولة قومية.

في وقت سابق من عام 2020، كشفت IBM Security X-Force عن نشاط يتعلق باستهداف سلسلة التوريد العالمية لمعدات الحماية الشخصية (PPE) من كوفيد-19. وبالمثل، في ظل المنافسة العالمية للحصول على اللقاح، من المحتمل جدًا أن تكون سلسلة التبريد هدفًا مقنعًا سيكون على رأس قوائم متطلبات جمع البيانات الوطنية في جميع أنحاء العالم.

توصيات لفرق الحماية

تستعد IBM Security X-Force لاستضافة مجتمع سلسلة توريد لقاح كوفيد-19 على منصة إدارة استخبارات المؤسسات الخاصة بنا، حيث يمكنهم مشاركة معلومات التهديدات واتخاذ إجراءات بناءً على أحدث استعلامات التهديدات. فيما يلي توصيات للمؤسسات لزيادة جاهزيتها الإلكترونية في ظل التطورات الموضحة في هذه المدونة:

  • ضع خطط الاستجابة للحوادث واختبرها لتعزيز جاهزية مؤسستك للاستجابة في حال وقوع هجوم.
  • شارك استعلامات التهديدات واجمعها. تُعد مبادرات وشراكات تبادل معلومات التهديدات ضرورية للحفاظ على اليقظة بشأن أحدث التهديدات وأساليب الهجوم التي تؤثر في مجالك. عملت IBM Security X-Force على دمج استعلامات التهديدات هذه في مجموعة مشاركة معلومات التهديدات المتعلقة بكوفيد-19. في بداية تفشي الجائحة، جعلت IBM هذه المجموعة متاحة مجانًا لأي مؤسسة تحتاج إلى زيادة التأهب للتهديدات الإلكترونية.
  • قيّم نظامك البنائي الخارجي وقدّر المخاطر المحتملة التي يفرضها الشركاء الخارجيون. احرص على فرض مراقبة فائقة وضوابط وصول ومعايير أمنية يجب على الشركاء الخارجيين الالتزام بها.
  • طبّق نهج الثقة الصفرية ضمن إستراتيجيتك الأمنية. مع استمرار توسع البيئات، تصبح إدارة الوصول إلى الامتيازات أمرًا بالغ الأهمية لضمان منح المستخدمين حق الوصول إلى البيانات الضرورية لعملهم فقط.
  • استخدم المصادقة متعددة العوامل (MFA) عبر مؤسستك. تعمل المصادقة متعددة العوامل كوسيلة حماية في حال وصول عنصر خبيث إلى بيانات اعتمادك. وبصفتها خط الدفاع الأخير، تقدم المصادقة متعددة العوامل شكلاً ثانيًا من متطلبات التحقق من أجل الوصول إلى الحساب.
  • نظم تدريبات تعليمية منتظمة حول أمن البريد الإلكتروني حتى يظل الموظفون في حالة تأهب بشأن أساليب التصيد الاحتيالي وأن يكونوا على دراية بأفضل ممارسات أمن البريد الإلكتروني.
  • استخدم أدوات حماية نقاط النهاية والاستجابة لها لاكتشاف التهديدات ومنع انتشارها عبر المؤسسة بشكل أسرع.

إذا كانت مؤسستك بحاجة إلى مساعدة فورية في الاستجابة للحوادث، فيُرجى التواصل مع IBM Security X-Force على الخط الساخن الأمريكي على الرقم 1-888-241-9812 | الخط الساخن العالمي (+001) 312-212-8034 تعرف على المزيد عن خدمات استعلامات التهديدات والاستجابة للحوادث التي تقدمها X-Force.

مؤشرات الاختراق (IOC)

ملفات HTML الخبيثة: RFQ – برنامج CCEOP ومشروع اللقاح من اليونيسيف – نسخة (#).html

تجزئة SHA256
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895

عناوين URL للخادم C2

hxxps://e-mailer.cf/next[.]php

hxxps://e-mailer.ga/next[.]php

hxxps://nwa-oma2.ml/next[.]php

hxxps://routermanager.ga/next[.]php

hxxps://routermanager.gq/next[.]php

hxxps://routermanager.ml/next[.]php

hxxps://routermanagers.cf/next[.]php

hxxps://routermanagers.ga/next[.]php

hxxps://routermanagers.gq/next[.]php

hxxps://routermanagers.ml/next[.]php

hxxps://serverrouter.cf/next[.]php

hxxps://serverrouter.ga/next[.]php

hxxps://serversrouter.cf/next[.]php

hxxps://serversrouter.gq/next[.]php

hxxps://nwa-oma.ml/next[.]php

عناوين البريد الإلكتروني للمُرسِل

yongbinxu@haierbiomedical[.]com

عنوان DNS SOA

rahim[@]protonmail[.]com

kilode[@]cock.li.

عناوين URL إضافية ذات صلة

hxxps://mailerdeamon[.]cf

hxxps://mailerdeamon[.]ga

hxxps://mailerdeamon[.]gq

hxxps://mailerdeamon[.]ml

hxxps://mailerdeamon[.]tk

hxxps://routermanager[.]tk

hxxps://routermanagers[.]tk

hxxps://serverrouter[.]tk