Une campagne mondiale de spear-phishing cible les organisations associées à la distribution de vaccins COVID-19 depuis septembre 2020, selon une nouvelle étude.
Attribuer l’opération à un acteur de l’État-nation, Chercheurs IBM Security X-Force a déclaré que les attaques visaient la chaîne du froid des vaccins, les entreprises chargées de stocker et de livrer le vaccin COVID-19 à des températures sûres.
Ce développement a incité la Cybersecurity and Infrastructure Security Agency (CISA) américaine à émettre une alerte, exhortant Operation Warp Speed (OWS) des organisations et des entreprises impliquées dans le stockage et le transport des vaccins pour revoir les indicateurs de compromis (IoC) et renforcer leurs défenses.
On ne sait pas si l’une des tentatives de phishing a réussi, mais la société a déclaré qu’elle avait informé les entités et les autorités appropriées de cette attaque ciblée.
Les e-mails de phishing, datant de septembre, ciblaient des organisations en Italie, en Allemagne, en Corée du Sud, en République tchèque, dans la grande Europe et à Taïwan, y compris la direction générale de la fiscalité et de l’union douanière de la Commission européenne, des fabricants de panneaux solaires sans nom, un logiciel sud-coréen. société de développement et une société allemande de développement de sites Web.
IBM a déclaré que les attaques visaient probablement des organisations liées à la Alliance pour les vaccins Gavi dans le but de récolter les informations d’identification des utilisateurs pour obtenir à l’avenir un accès non autorisé aux réseaux d’entreprise et aux informations sensibles relatives à la distribution du vaccin COVID-19.
Pour donner un air de crédibilité aux courriels, les opérateurs derrière l’opération ont conçu des leurres qui se faisaient passer pour des demandes de devis pour la participation à un programme de vaccination. Les attaquants se sont également fait passer pour un dirigeant d’entreprise de Haier Biomedical, un fournisseur légitime de chaîne du froid basé en Chine, dans le but de convaincre les destinataires d’ouvrir les e-mails entrants sans remettre en question l’authenticité de l’expéditeur.
«Les e-mails contiennent des pièces jointes HTML malveillantes qui s’ouvrent localement, invitant les destinataires à entrer leurs informations d’identification pour afficher le fichier», ont déclaré les chercheurs d’IBM Claire Zaboeva et Melissa Frydrych.
Bien que les chercheurs n’aient pas pu établir l’identité de l’acteur de la menace, l’objectif ultime, semble-t-il, est de récolter les noms d’utilisateur et les mots de passe et d’en abuser pour voler la propriété intellectuelle et se déplacer latéralement à travers les environnements victimes pour les campagnes d’espionnage ultérieures.
La recherche sur le vaccin COVID-19 devient une cible lucrative
La recherche et le développement de vaccins COVID-19 est la cible de cyberattaques soutenues depuis le début de l’année.
En juin, IBM a divulgué les détails d’un campagne de phishing ciblant une entité allemande liée à l’achat d’équipements de protection individuelle (EPI) auprès de chaînes d’approvisionnement et d’achat basées en Chine.
Les cyberassauts ont conduit le ministère américain de la Justice à inculper deux ressortissants chinois pour vol de données sensibles, y compris à des entreprises développant des vaccins COVID-19, des technologies de test et des traitements, tout en opérant à la fois pour un gain financier privé et pour le compte du ministère chinois de la Sécurité d’État.
En novembre, Microsoft l’a dit cyberattaques détectées de trois agents de l’État-nation en Russie (Fancy Bear aka Strontium) et en Corée du Nord (Hidden Cobra et Cerium) dirigés contre des sociétés pharmaceutiques situées au Canada, en France, en Inde, en Corée du Sud et aux États-Unis qui sont impliquées dans les vaccins COVID-19 en différentes étapes des essais cliniques.
Puis la semaine dernière, il est apparu que des pirates informatiques nord-coréens présumés visaient un fabricant de drogue britannique AstraZeneca en se faisant passer pour des recruteurs sur les sites de réseautage LinkedIn et WhatsApp pour approcher ses employés avec de fausses offres d’emploi et les inciter à ouvrir ce qui était censé être des documents de description de poste pour accéder à leurs systèmes et installer des logiciels malveillants.