Las organizaciones asociadas con la distribución de vacunas contra el COVID-19 están en el punto de mira de una campaña global de spear-phishing, según un estudio de los investigadores de IBM Security X-Force. No está claro si alguno de los intentos de phishing tuvo éxito, pero se ha notificado a las entidades y autoridades correspondientes de lo que se considera un ataque dirigido.
El informe ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a emitir una alerta, instando a las organizaciones y empresas de la Operation Warp Speed (OWS) involucradas en el almacenamiento y transporte de las vacunas a revisar los indicadores de compromiso (IoC) y reforzar sus defensas.
Los correos electrónicos de phishing, que datan del mes de septiembre, estaban dirigidos a organizaciones de Italia, Alemania, Corea del Sur, República Checa o Taiwán, incluida la Dirección General de Impuestos y Unión Aduanera de la Comisión Europea, y empresas diversas.
Los investigadores de IBM explican que los ataques probablemente se dirigieron a organizaciones vinculadas a la alianza de vacunas Gavi con el objetivo de recopilar credenciales de usuario para obtener acceso no autorizado en el futuro a redes corporativas e información confidencial relacionada con la distribución de vacunas contra el COVID-19.
Para dar a los correos electrónicos un aire de credibilidad, los operadores detrás de la operación crearon señuelos que se hicieron pasar por solicitudes para participar en un programa de vacunas. Los atacantes también se hicieron pasar por un ejecutivo comercial de Haier Biomedical, un proveedor legítimo de cadena de frío con sede en China, en un intento de convencer a los destinatarios de que abriesen los correos electrónicos entrantes sin cuestionar la autenticidad del remitente.
«Los correos electrónicos contienen archivos adjuntos HTML maliciosos que se abren localmente, solicitando a los destinatarios a que ingresen sus credenciales para ver el archivo», explican desde el grupo de seguridad de IBM.
Aunque los investigadores no pudieron establecer las identidades de los atacantes, parece que el objetivo final era recolectar nombres de usuario y contraseñas y abusar de ellos para robar propiedad intelectual y moverse lateralmente a través de los entornos de las víctimas para las campañas de espionaje posteriores.
Vacunas contra el COVID-19, un gran objetivo
La investigación y el desarrollo de la vacunas ha sido blanco de ataques cibernéticos sostenidos desde principios de año, prácticamente desde que se inició la pandemia en China. En junio, IBM reveló detalles de una campaña de phishing similar dirigida a una entidad alemana relacionada con la adquisición de equipos de protección personal en las cadenas de suministro y compras con sede en China.
En julio, la Agencia de Seguridad Nacional de Estados Unidos, la autoridad canadiense de ciberseguridad y el Centro de Ciberseguridad Nacional del Reino Unido, alertaron de ataques informáticos contra científicos británicos para conseguir por la vía rápida los secretos de las vacunas del COVID-19.
Las agencias de seguridad occidentales pusieron nombre a los atacantes y a los responsables. APT29, un grupo de piratas informáticos de alto nivel, bien conocidos en el ámbito de la ciberseguridad con sobrenombres como “The Dukes” o “Cozy Bear” y vinculado con la inteligencia rusa, que según la NSA estaría detrás de los hackeos.
En noviembre, Microsoft dijo que detectó ataques cibernéticos de tres grupos-nación relacionados con Rusia (Fancy Bear) y Corea del Norte (Hidden Cobra y Cerium) dirigidos contra compañías farmacéuticas ubicadas en Canadá, Francia, India, Corea del Sur y los EE. UU. que participan en las vacunas en varias etapas de los ensayos clínicos.
Más recientemente, se identificó un movimiento por parte de crackers norcoreanos con ataques al gigante farmacéutico mundial con sede en Reino Unido AstraZeneca, uno de los más adelantados. Los piratas informáticos se hicieron pasar por reclutadores de la red social LinkedIn para acercarse a los empleados con ofertas de trabajo falsas y engañarlos para que abrieran lo que supuestamente eran los documentos de descripción del trabajo. Todo era falso y estaba destinado a obtener acceso a sus sistemas e instalar malware.
Las vacunas contra el COVID-19 deben terminar con la emergencia mundial sanitaria (y económica) y obviamente tienen un valor enorme. No extraña que estén siendo un gran objetivo por los ciberdelincuentes. Desde el primer momento, primero en su desarrollo, después en su producción y ahora en su distribución.