Fue en diciembre de 2020 cuando IBM Security X-Force publicó los resultados de una investigación que reveló que las cadenas de frío de Covid-19 —una parte integral de la entrega y almacenamiento de vacunas en temperaturas seguras— fue amenazada por ciberdelicuentes.
Después de ese primer reporte, la compañía descubrió recientemente 50 archivos adicionales vinculados a e-mails de spear phishing dirigidos a 44 compañías en 14 países de Europa, Norte América, Sudamérica, África y Asia.
El alcance ampliado de ataques selectivos incluye organizaciones clave que probablemente apuntan al transporte, depósito, almacenamiento, y la distribución final de las vacunas. Los intentos de spear phishing se asociaron a múltiples actividades ejecutivas y de otros roles, incluyendo Directores Ejecutivos, Jefes de Ventas Globales, Gerentes de compras, Presidentes de Compañías, Administradores de Sistemas y Representantes de ventas, entre otros.
Específicamente, la campaña suplanta a un ejecutivo de Haier Biomedical, una importante empresa biomédica China que se presume que es el único proveedor completo de cadena de frío en el mundo.
“Los hallazgos recientes se pusieron a disposición en 2021 a través de TruSTAR, nuestra Plataforma de Gestión de Inteligencia Empresarial. En el mismo período, X-Force contactó a entidades globales pertinentes de acuerdo con nuestra política responsable de divulgación”, indicaron desde IBM Security X-Force.
En conversación con BioBioChile, Nick Rossmann, Líder Global de X-Force Threat Intelligence indicó: “aunque no sabemos exactamente lo que estos actores de amenazas altamente motivados estaban procurando con estos ataques, es claro que estaban dedicados en ganar acceso a las cadenas de frío”.
“Ellos podrían estar buscando hacer una serie de cosas con estos ataques, desde alterar la confianza de los consumidores en la vacuna, hasta robar propiedad intelectual para aprender sobre la distribución en cadenas de frío, especialmente, dado que muchos países están esforzándose por tener acceso a las vacunas. Por último, los atacantes podrían estar buscando llevar a cabo un ataque destructivo, como ransomware, para impactar la distribución de las vacunas”, añadió.
A su vez, Rossman indicó que dada la importancia de las cadenas de frío, “queremos que cada uno de los involucrados en ellas pueda estar atento y en estado de alerta. Hay un número de pasos que los miembros de las cadenas de frío pueden tomar para evitar ser víctimas de estas campañas”.
“Confiar pero verificar. Ahora es el momento de escudriñar todo desde los aliados. De levantar el teléfono y llamarlos para confirmar que los e-mails o archivos adjuntos no solicitados son realmente de parte de ellos. Limitar el acceso de empleados a la información sensitiva. Sólo dar acceso a aquellos que lo necesitan para sus roles”, detalló.
“Usar el multifactor de autentificación (MFA) en toda la organización. Esta es una capa extra de defensa que impide que un mal actor tenga acceso aunque haya conseguido con éxito nombres de usuario, e-mails y contraseñas. Revisar la seguridad del sitio web antes de enviar o ingresar información sensitiva, por ejemplo, ¿el URL inicia con HTTPS indicando que la conexión está encriptada?”, complementó.
Cabe señalar que los expertos descubrieron varias características que evidencian el conocimiento excepcional del actor sobre las cadenas de frío. “Si bien nuestro reporte anterior presentó objetivos directos en organizaciones multinacionales, en el sector energético y de tecnología en seis países, creemos que esta expansión es coherente con el patrón de ataques establecido, y la campaña permanece como una amenaza deliberada y calculada”, puntualizaron.
· Los correos electrónicos descubiertos fueron enviados entre Septiembre 7-9, con varios meses de anticipación a la aprobación de cualquier variable de vacuna de covid-19, lo cual, indica que el atacante estaba pre-posicionándose en la infraestructura global emergente.
· Tanto el asunto del e-mail como su contenido discuten solicitudes de presupuestos con respecto al programa CCEOP que contiene referencias a productos específicos (un refrigerador de vacunas potenciado con energía solar y un refrigerador de hielo) de la línea de productos de Haier Biomedical para almacenar y transportar vacunas en la misma temperatura de la vacuna de covid-19.
· Los archivos de HTML relacionados mencionan organizaciones involucradas en la manufactura de paneles solares, así como producción petroquímica (hielo seco como derivado primario), que se alinea directamente con los productos antes mencionados.
· El idioma inglés en el correo se alinea con los antecedentes académicos del falso remitente en el área de la firma.
Infraestructura coincidente
Siguiendo directamente su publicación de diciembre, X-Force descubrió un e-mail de spear phishing adicional, notablemente similar a las muestras originales encontradas. El e-mail estaba dirigido a una compañía alemana de soluciones farmacéuticas y de biociencia involucrada en la producción de vacunas, entre otras especialidades, que parece ser un cliente de uno de los objetivos originales que descubrieron. En este contexto, este e-mail comparado con el anterior impulsó una mayor investigación.
“Las conexiones que encontramos entre los archivos nuevos y anteriores muestran una infraestructura de comando y control (C”) que coincide, y parece mostrar el mismo PDF borroso con una pantalla de inicio de sesión que contiene el e-mail del usuario como nombre de usuario. Una vez el nombre de usuario y la contraseña son digitados, las credenciales son enviadas a un servidor C2. X-Force evalúa que esta actividad busca obtener credenciales de usuario para ataques futuros o secundarios”, detallaron.
