Campa帽a de phishing busca explotar la vacuna Covid-19

Campa帽a descubierta por IBM afecta a organizaciones implicadas en el proceso de la cadena de fr铆o de la vacuna.

Al inicio de la pandemia de la COVID-19, IBM Security X-Force庐 cre贸 un grupo de trabajo dedicado a rastrear las amenazas en la nube del ciberespacio contra las organizaciones que mantienen en funcionamiento la cadena de suministro de las vacunas de la COVID-19. Como parte de estos esfuerzos, el equipo de expertos ha descubierto una campa帽a de phishing dirigida a empresas relacionadas con el proceso de la cadena de fr铆o de las vacunas, esencial para garantizar su conservaci贸n segura en entornos de temperatura controlada durante su almacenamiento y transporte. 

El an谩lisis indica que esta operaci贸n planificada comenz贸 en septiembre de 2020. La campa帽a se extendi贸 a seis pa铆ses y se dirigi贸 a organizaciones probablemente asociadas con el programa “Plataforma de Optimizaci贸n de Equipos de Cadena de Fr铆o” (CCEOP) de Gavi Vaccine Alliance, lanzado con el Fondo de las Naciones Unidas para la Infancia (UNICEF) y otras entidades asociadas en 2015. Su objetivo es, en 煤ltima instancia, fortalecer las cadenas de suministro de las vacunas, optimizar la equidad de la inmunizaci贸n y garantizar una respuesta m茅dica 谩gil a los brotes de enfermedades infecciosas. 

Aunque nadie se ha atribuido en firme la autor铆a de estos ataques, el equipo de expertos de IBM cree que podr铆a tratarse de ataques procedentes de un Estado-Naci贸n, debido a la precisi贸n en la selecci贸n de los objetivos y las organizaciones mundiales clave en el proceso. 

Spoofing calculado para comprometer la cadena de fr铆o de la vacuna de la COVID-19

La campa帽a se llev贸 a cabo a trav茅s de la falsificaci贸n de correos electr贸nicos. Concretamente, el atacante se hizo pasar por un directivo de Haier Biomedical, una compa帽铆a china que actualmente act煤a como proveedor cualificado del programa CCEOP, en coordinaci贸n con la Organizaci贸n Mundial de la Salud (OMS), UNICEF y otras agencias de la ONU. 

La compa帽铆a es supuestamente el 煤nico proveedor del mundo que controla la cadena de fr铆o al completo. Haci茅ndose pasar por este ejecutivo, el atacante envi贸 correos electr贸nicos de phishing a organizaciones proveedoras de material de transporte dentro de la cadena de fr铆o de las vacunas de la COVID-19. IBM Security X-Force consider贸 que el prop贸sito de esta campa帽a pudo haber sido recopilar contrase帽as, posiblemente para obtener m谩s adelante un acceso no autorizado a redes corporativas e informaci贸n sensible relacionada con la distribuci贸n de la vacuna de la COVID-19. 

Objetivo de alcance global

Entre los objetivos de esta campa帽a se inclu铆a a la Direcci贸n General de Impuestos y Uni贸n Aduanera de la Comisi贸n Europea, as铆 como a organizaciones de los sectores de energ铆a, fabricaci贸n, la creaci贸n de sitios web y soluciones de software y seguridad en Internet. Se trata de organizaciones mundiales con sede en Alemania, Italia, Corea del Sur, Rep煤blica Checa, Europa y Taiw谩n. Dada la especializaci贸n y la distribuci贸n mundial de las organizaciones a las que se dirig铆a esta campa帽a, es muy probable que los atacantes conocieran 铆ntimamente los componentes cr铆ticos y a los agentes implicados en la cadena de fr铆o de la vacuna. 

Recolecci贸n de credenciales para un acceso m谩s amplio

Los correos electr贸nicos de spear phishing se enviaron a varios ejecutivos de ventas, compras, tecnolog铆as de la informaci贸n y finanzas que probablemente estaban involucrados en el proceso de la cadena de fr铆o de las vacunas. Tambi茅n se identificaron casos en los que la actividad se extendi贸 a toda la organizaci贸n para incluir p谩ginas de soporte de las organizaciones objetivo.

Detectada esta campa帽a, IBM Security X-Force ha seguido protocolos de divulgaci贸n responsables y ha notificado a las entidades y autoridades apropiadas sobre esta operaci贸n dirigida. 

Los e-mails de phishing se planteaban como solicitudes de cotizaciones (RFQ) relacionadas con el programa CCEOP. Estos e-mails conten铆an archivos adjuntos HTML maliciosos que se abr铆an localmente, lo que provocaba que los destinatarios introdujeran sus credenciales para ver el archivo. Esta t茅cnica de phishing ayuda a los atacantes a evitar la creaci贸n de p谩ginas web de phishing que puedan ser descubiertas y eliminadas por los equipos de investigaci贸n de seguridad y las fuerzas del orden.

El equipo de expertos de seguridad de IBM consider贸 que el prop贸sito de esta campa帽a pudo haber sido recoger credenciales para obtener futuros accesos no autorizados. A partir de ah铆, los ciberdelincuentes podr铆an obtener informaci贸n sobre las comunicaciones internas, as铆 como el proceso, los m茅todos y los planes para distribuir una vacuna de la COVID-19. Esto incluye informaci贸n sobre la infraestructura que los gobiernos tienen la intenci贸n de utilizar para distribuir una vacuna a los proveedores que la suministrar谩n. Sin embargo, m谩s all谩 de la informaci贸n cr铆tica relativa a la vacuna de la COVID-19, el acceso de los atacantes podr铆a extenderse a los entornos de las v铆ctimas. Moverse lateralmente a trav茅s de las redes y permanecer all铆 de forma sigilosa permiti茅ndoles realizar ciberespionaje y recopilar informaci贸n confidencial adicional de los entornos de las v铆ctimas para operaciones futuras.

驴Qui茅n est谩 detr谩s de estos ataques?

Si bien actualmente se desconoce, la precisi贸n de los objetivos y la naturaleza de las organizaciones objetivo espec铆ficas apuntan potencialmente a la actividad de los hackers Estado-Naci贸n. Sin el objetivo expl铆cito de ganar dinero es poco probable que los ciberdelincuentes dediquen el tiempo y recursos necesarios para ejecutar una operaci贸n tan calculada con tantos objetivos interrelacionados y distribuidos a nivel mundial. Del mismo modo, la informaci贸n sobre el transporte de una vacuna puede ser una mercanc铆a de moda en el mercado negro, sin embargo, tener informaci贸n avanzada de la compra y el movimiento de una vacuna que puede repercutir en la vida y la econom铆a mundial es probablemente un objetivo de gran valor y de alta prioridad para el Estado-naci贸n. 

Alerta para la cadena de suministro de COVID-19

IBM Security X-Force insta a las empresas de la cadena de suministro de la COVID-19 -desde la investigaci贸n de terapias, la prestaci贸n de servicios sanitarios hasta la distribuci贸n de una vacuna- a que est茅n atentas y permanezcan en alerta m谩xima durante este tiempo.聽Los gobiernos聽ya han advertido de que es probable que entidades extranjeras intenten realizar espionaje en la nube de Internet para robar informaci贸n sobre las vacunas.

Fotograf铆a: Daniel Schludi v铆a Unsplash


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.