Hackers usam phishing para atacar a cadeia de suprimentos da COVID-19. Recomenda-se que as empresas estejam vigilantes e permaneçam em alerta máximo durante esse período.
No início da pandemia COVID-19, o IBM Security X-Force criou uma força-tarefa de inteligência de ameaças dedicada a rastrear ameaças cibernéticas COVID-19 contra organizações que estão mantendo a cadeia de fornecimento de vacinas em movimento. Como parte desses esforços, a equipe descobriu recentemente uma campanha global de phishing direcionada a organizações associadas a uma COVID-19 “cold chain” (cadeia fria). A cold chain é um componente da cadeia de abastecimento de vacinas que garante a preservação segura das vacinas em ambientes com temperatura controlada durante o armazenamento e transporte.
A análise da equipe da IBM indica que essa operação calculada começou em setembro de 2020. A campanha de phishing COVID-19 se estendeu por seis países e organizações-alvo provavelmente associadas ao Gavi, o programa Cold Chain Equipment Optimization Platform (CCEOP) da The Vaccine Alliance , que será explicada com mais detalhes à frente. Embora não tenha sido possível estabelecer uma atribuição firme para esta campanha, o direcionamento preciso de executivos e organizações globais importantes detém as marcas registradas em potencial de ataques Estado-nação.
A notícia do blog da IBM traz alguns detalhes da análise do IBM Security X-Force dessa atividade e incluem:
- The Cover Story – O adversário se passou por um executivo de negócios da Haier Biomedical, uma empresa membro credível e legítima da cadeia de fornecimento de vacinas COVID-19 e fornecedora qualificada para o programa CCEOP. A empresa é supostamente a única fornecedora de cold chain completa do mundo. Disfarçado como este funcionário, o adversário enviou e-mails de phishing para organizações que se acredita serem provedores de suporte material para atender às necessidades de transporte dentro da COVID-19 cold chain. A equipe avaliou que o objetivo desta campanha de phishing COVID-19 pode ter sido coletar credenciais, possivelmente para obter futuro acesso não autorizado a redes corporativas e informações confidenciais relacionadas à distribuição da vacina COVID-19.
- Os Alvos – Os alvos incluíram a Direção-Geral da Fiscalidade e da União Aduaneira da Comissão Europeia, bem como organizações nos sectores da energia, produção, criação de sites e software e soluções de segurança na Internet. São organizações globais sediadas na Alemanha, Itália, Coréia do Sul, República Tcheca, grande Europa e Taiwan.
- Como – e-mails de spear-phishing foram enviados para executivos selecionados em vendas, compras, tecnologia da informação e posições financeiras, provavelmente envolvidos nos esforços da empresa para apoiar uma cold chain de vacinas. Também identificamos casos em que essa atividade se estendeu por toda a organização para incluir páginas de ajuda e suporte de organizações específicas.
O IBM Security X-Force seguiu os protocolos de divulgação responsável e notificou as entidades e autoridades apropriadas sobre esta operação direcionada.
Alerta para a Cadeia de Abastecimento COVID-19
O IBM Security X-Force recomenda que as empresas da cadeia de suprimentos COVID-19 – da pesquisa de terapias, fornecimento de assistência médica à distribuição de uma vacina – estejam vigilantes e permaneçam em alerta máximo durante esse período. Os governos já alertaram que as entidades estrangeiras provavelmente tentarão realizar espionagem cibernética para roubar informações sobre vacinas. O DHS CISA está emitindo um alerta encorajando as organizações associadas ao armazenamento e transporte de uma vacina a revisar esta pesquisa e as melhores práticas recomendadas para permanecerem vigilantes.
Spoofing calculado para comprometer a cadeia de frio COVID-19
O IBM Security X-Force descobriu alvos em vários setores, governos e parceiros globais que oferecem suporte ao programa CCEOP . O CCEOP foi lançado por Gavi, The Vaccine Alliance juntamente com o Fundo das Nações Unidas para a Infância (UNICEF) e outros parceiros em 2015. Seu objetivo é fortalecer as cadeias de abastecimento de vacinas, otimizar a equidade de imunização e garantir uma resposta médica ágil a surtos de doenças infecciosas . Várias classes de medicamentos, especialmente vacinas, requerem armazenamento e transporte em ambientes com temperatura controlada para garantir sua preservação segura.
A iniciativa CCEOP está naturalmente acelerando os esforços para facilitar a distribuição de uma vacina COVID-19. Uma violação em qualquer parte desta aliança global pode resultar na exposição de vários ambientes de computação de parceiros em todo o mundo.
Os e-mails de phishing falsificados parecem ter se originado de um executivo de negócios da Haier Biomedical, uma empresa chinesa que atualmente atua como fornecedora qualificada para o programa CCEOP, em coordenação com a Organização Mundial da Saúde (OMS), UNICEF e outras agências da ONU. É altamente provável que o adversário tenha escolhido estrategicamente se passar pela Haier Biomedical porque ela é considerada a única fornecedora de cold chain completa do mundo. Da mesma forma, o funcionário da Haier Biomedical que supostamente está enviando esses e-mails provavelmente estaria associado às operações de distribuição da cold chain da Haier Biomedical com base em sua função, que está listada no bloco de assinatura de e-mail.
Não está claro na análise se a campanha de phishing do COVID-19 foi bem-sucedida. No entanto, o papel estabelecido que a Haier Biomedical atualmente desempenha no transporte da vacina e seu provável papel na distribuição da vacina COVID-19 aumenta a probabilidade de os alvos pretendidos se envolverem com os emails recebidos sem questionar a autenticidade do remetente.
Global Targeting
Dada a especialização e distribuição global das organizações visadas nesta campanha, é altamente provável que o adversário esteja intimamente ciente dos componentes e participantes críticos da cold chain.
- European Commission’s Directorate-General for Taxation and Customs Union – A Direção-Geral é responsável por promover a cooperação em matéria aduaneira e fiscal em toda a UE. Ele mantém vínculos diretos com várias redes governamentais nacionais e está associado ao comércio e à regulamentação. Ter como alvo esta entidade pode servir como um ponto único de compromisso, impactando vários alvos de alto valor nos 27 estados membros da União Europeia e além.
- Setor de energia – Os alvos de spear phishing incluem empresas envolvidas na fabricação de painéis solares. Uma das maneiras pelas quais as vacinas são mantidas resfriadas em países onde a energia confiável não é possível é usando refrigeradores de vacinas alimentados por painéis solares. O comprometimento dessas tecnologias pode resultar em roubo de propriedade intelectual ou roubo e venda de contêineres de remessa de vacinas em mercados negros em todo o mundo. A segmentação também incluiu empresas associadas à petroquímica. Entre os principais componentes da cold chain está o uso de gelo seco, que é um subproduto da produção de petróleo.
- Setor de TI – Entre os alvos estavam uma empresa sul-coreana de desenvolvimento de software e uma empresa alemã de desenvolvimento de sites. Este último oferece suporte a vários clientes associados a fabricantes de produtos farmacêuticos, transporte de contêineres, biotecnologia e fabricantes de componentes elétricos que permitem a navegação e comunicações marítimas, terrestres e aéreas.
Quem está provavelmente por trás desses ataques?
Embora a atribuição seja atualmente desconhecida, o direcionamento preciso e a natureza das organizações direcionadas específicas apontam potencialmente para a atividade de estado-nação. Sem um caminho claro para um saque, é improvável que os cibercriminosos devotem o tempo e os recursos necessários para executar uma operação calculada com tantos alvos interligados e globalmente distribuídos. Da mesma forma, o insight sobre o transporte de uma vacina pode representar uma mercadoria quente do mercado negro, no entanto, o insight avançado sobre a compra e movimentação de uma vacina que pode impactar a vida e a economia global é provavelmente uma nação de alto valor e alta prioridade como alvo de ataques estado-nação.
No início de 2020, o IBM Security X-Force descobriu atividades relacionadas ao direcionamento de uma cadeia de suprimentos COVID-19 PPE global . Da mesma forma, como a competição global corre por uma vacina, é altamente provável que a cold chain seja um alvo atraente que estará no topo das listas de requisitos de coleta nacionais em todo o mundo.
Recomendações aos defensores
O IBM Security X-Force recomenda às organizações aumentarem sua prontidão cibernética:
- Crie e teste planos de resposta a incidentes para fortalecer a preparação e prontidão da sua organização para responder no caso de um ataque.
- Compartilhe e ingira informações sobre ameaças. As iniciativas e parcerias de compartilhamento de ameaças são essenciais para ficar alerta sobre as ameaças e táticas de ataque mais recentes que afetam seu setor.
- Avalie seu ecossistema de terceiros e avalie os riscos potenciais introduzidos por parceiros de terceiros. Confirme se você tem monitoramento robusto, controles de acesso e padrões de segurança que os parceiros terceirizados precisam obedecer.
- Aplique uma abordagem de zero trsut à sua estratégia de segurança. À medida que os ambientes continuam a se expandir, o gerenciamento de acesso com privilégios torna-se fundamental para garantir que os usuários tenham acesso apenas aos dados essenciais para seu trabalho. (Veja: Microssegmentação e Zero Trust protege ativos críticos)
- Use a autenticação multifator (MFA) em sua organização. O MFA funciona como um fail-safe se um ator mal-intencionado obteve acesso às suas credenciais. Como última linha de defesa, o MFA oferece uma segunda forma de requisito de verificação para acessar uma conta.
- Realize treinamentos educacionais regulares sobre segurança de email para que os funcionários permaneçam alertas sobre táticas de phishing e estejam familiarizados com as práticas recomendadas de segurança de email .
- Use as ferramentas Endpoint Protection and Response para detectar e evitar que ameaças se espalhem pela organização com mais rapidez.
Indicadores de compromisso (IOCs)
A IBM X-Force divulgou também Indicadores de Compromisso que podem ser utilizados pelas empresas para fortalecerem seus sistemas de proteção:
Arquivos HTML maliciosos: RFQ – UNICEF CCEOP and Vaccine Project – Copiar (#). Html
| Hashes SHA256 |
| d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4 |
| ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04 |
| 7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51 |
| e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10 |
| a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6 |
| 07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9 |
| 7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2 |
| 7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd |
| 83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e |
| 6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4 |
| 75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5 |
| b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37 |
| 33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af |
| a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977 |
| 68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4 |
| 0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e |
| 61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e |
| 0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8 |
| 9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50 |
| 49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4 |
| 8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b |
| 61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df |
| 93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c |
| c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc |
| d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529 |
| 3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198 |
| d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4 |
| 28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895 |
URLs C2
hxxps: //e-mailer.cf/next [.] php
hxxps://e-mailer.ga/next[.]php
hxxps: //nwa-oma2.ml/next [.] php
hxxps: //routermanager.ga/next [.] php
hxxps: //routermanager.gq/next [.] php
hxxps: //routermanager.ml/next [.] php
hxxps: //routermanagers.cf/next [.] php
hxxps: //routermanagers.ga/next [.] php
hxxps: //routermanagers.gq/next [.] php
hxxps: //routermanagers.ml/next [.] php
hxxps: //serverrouter.cf/next [.] php
hxxps: //serverrouter.ga/next [.] php
hxxps: //serversrouter.cf/next [.] php
hxxps: //serversrouter.gq/next [.] php
hxxps: //nwa-oma.ml/next [.] php
Endereços de e-mail do remetente
yongbinxu@haierbiomedical[.]com
Endereços DNS SOA
rahim[@]protonmail[.]com
kilode [@] cock.li.
URLs Relacionados Adicionais
hxxps: // mailerdeamon [.] cf
hxxps: // mailerdeamon [.] ga
hxxps: // mailerdeamon [.] gq
hxxps: // mailerdeamon [.] ml
hxxps: // mailerdeamon [.] tk
hxxps: // routermanager [.] tk
hxxps: // routermanagers [.] tk
hxxps: // serverrouter [.] tk
Fonte: IBM Security X-Force
Veja também:
- Microssegmentação e Zero Trust protege ativos críticos
- Vazamento no e-SUS expõe dados de 243 milhões de pessoas
- Microsoft Defender for Identity agora detecta ataques Zerologon
- MPDFT pede busca e apreensão e medidas cautelares contra hackers que atacaram o TSE
- 50.000 Senhas de VPNs Fortinet expostas desde 2018
- Hack de vale-presente – você paga, eles compram
- Vazamento no Ministério da Saúde expõe dados de 16 milhões de pessoas
- Como usar a estrutura Mitre ATT&CK para segurança na nuvem
- Justiça aplica Lei Geral de Proteção de Dados à Serasa Experian
- Sua senha não é segura, nem uma autenticação multifator SMS
- Microsoft confirma problema sério de senha do Windows 10
- Cavalo de Troia bancário brasileiro pode espionar mais de 150 aplicativos financeiros
Deixe sua opinião!