Spear-pishingaanvallen via e-mail gericht tegen COVID-19-vaccinleveringsketens

Terwijl de VS de laatste hand legden aan plannen om de eerste 2,9 miljoen doses van het COVID-19-vaccin te distribueren, voerden cyberactoren een gerichte aanval uit op bedrijven die betrokken zijn bij de toeleveringsketen van het vaccin. In een advies van 3 december van het Cybersecurity & Infrastructure Security Agency (CISA) werd gewaarschuwd dat deze actoren phishing-e-mails stuurden naar leidinggevenden in wereldwijde organisaties die zich voordeden als een biomedisch bedrijf, waarin werd gevraagd om partnerschappen voor de gekoelde opslag van het vaccin.[1] Of de aanvallen zijn geslaagd, kon tot dusver niet worden vastgesteld.

Bij de lopende aanvallen, die zijn ontdekt door IBM Security X-Force, maken cybercriminelen gebruik van spear phishing, zo genoemd omdat de e-mails zijn gericht aan leidinggevenden en werknemers van specifieke bedrijven in de toeleveringsketen van vaccins. De e-mail phishing aanvallen begonnen in september 2020 en lijken afkomstig van een werknemer van Haier Biomedical, een Chinees bedrijf dat gekwalificeerd is onder het Cold Chain Equipment Optimization Platform om koude opslag voor vaccins te leveren.

De phishing-e-mails werden verstuurd naar organisaties bij de overheid, de productie van zonnepanelen, de productie van droogijs en IT-bedrijven die klanten in de productie- en distributiekanalen ondersteunen. Zonnepanelen worden gebruikt om koelkasten van stroom te voorzien die nodig zijn om het vaccin extreem koud te houden.

In de phishing-e-mail wordt gevraagd om een offerte voor deelname aan het programma, waarbij de ontvanger wordt verwezen naar een ontwerpcontract dat als HTML-document is bijgevoegd. Om het document te openen, wordt de ontvanger gevraagd om inloggegevens in te voeren. Door deze inloggegevens te verzamelen, zouden de cyberaanvallers toegang kunnen krijgen tot bedrijfsnetwerken om informatie over de distributie van vaccins te verzamelen en misschien om activiteiten te saboteren.

E-mail spear Phishers blijken actoren van een natiestaat te zijn

Gezien de geraffineerdheid van de aanvallen en de gerichtheid op leidinggevenden en werknemers die betrokken zijn bij de opslag en distributie van vaccins, zijn de aanvallers hoogstwaarschijnlijk natiestaten, hoewel IBM de bron niet met zekerheid heeft kunnen achterhalen.

Dit incident volgt op een spear phishing-aanval in maart 2020 op Duitse bedrijven om ongeautoriseerde toegang te krijgen tot PBM-apparatuur.[2] IBM was in staat die aanval te herleiden naar Russische IP-adressen. Uit eerder onderzoek is vaak gebleken dat de overgrote meerderheid van succesvolle gegevensinbreuken begint met spear-phishingaanvallen via e-mail.

Deze meer recente aanval wijst op het belang van "zorgvuldigheid op het gebied van cyberbeveiliging bij elke stap in de toeleveringsketen van vaccins", aldus Josh Corman, Senior Advisor voor CISA inzake zaken die te maken hebben met COVID en openbare veiligheid, in e-mails aan meerdere mediaorganisaties.

Belangrijkste Spear Phishing-verdedigingen

Gewoonlijk zijn de twee belangrijkste verdedigingsmechanismen tegen phishing-e-mails secure email gateways (SEG's) om deze e-mails te detecteren en te blokkeren voordat ze hun doelwit bereiken, en cyberbewustzijnstraining die werknemers leert om e-mails die er wel doorkomen, te herkennen en te negeren. Maar de phishing-e-mails die de toeleveringsketen van COVID-19-vaccins aanvallen, zien er heel legitiem uit - het zijn uitstekende merkimitaties die afkomstig lijken te zijn van een bedrijf waarvan de ontvangers zouden verwachten dat het contact met hen opneemt.

Een verdere complicatie is dat er, met het bijgevoegde HTML-document, geen webpagina's zijn die beveiligingsteams kunnen ontdekken en neerhalen. De grammatica in de e-mail is zwak, maar aangezien het gespoofde biomedische bedrijf in China is gevestigd, kunnen e-mailontvangers dit logischerwijs verontschuldigen.

Toch kunnen bedrijven meer doen om zich tegen dit soort aanvallen te beschermen:

• Train werknemers regelmatig op het gebied van cyberbewustzijn. Waarschuw hen vooral tegen het invoeren van referenties als antwoord op e-mails.
• Implementeer of upgrade uw SEG. Zorg ervoor dat uw gateway effectief alle soorten bestandsbijlagen kan scannen.
• Gebruik multifactor authenticatie (MFA). Door een tweede methode voor autorisatie te vereisen, zijn gestolen legitimatiebewijzen alleen niet voldoende om toegang tot bedrijfsnetwerken te krijgen.
• Beveiligingspraktijken toepassen bij externe partners. Hoewel uw bedrijf over een sterk detectie- en reactieplan beschikt, moet u ervoor zorgen dat partnerbedrijven in de toeleveringsketen op dezelfde manier beschermd zijn.
• Informatie over aanvallen delen met partnerbedrijven. Meer informatie leidt tot betere bescherming. IBM Security X-Force houdt bijvoorbeeld een repository bij van geïdentificeerde bedreigingen die vrij beschikbaar is voor organisaties.
• Vertrouw niemand. Geef gebruikers alleen de minimale toegang die ze nodig hebben om hun werk te doen.
• Maak en test incident response plannen. Dit is verstandig met het oog op een eventuele aanval.

De kern van de zaak

Gezien het cruciale belang van het COVID-19-vaccin bij de bestrijding van een wereldwijde pandemie, is het niet verwonderlijk dat bedrijven die vaccins produceren en distribueren onder vuur komen te liggen. Deze bedrijven moeten zich scherp bewust zijn van e-mail phishing-aanvallen en een sterke, gelaagde interne verdediging ontwikkelen, alsmede beveiligingspartnerschappen met andere bedrijven in de toeleveringsketen.

[1] "IBM brengt verslag uit over cyberactoren die de COVID-19-leveringsketen van vaccins viseren," U.S. Cybersecurity & Infrastructure Security Agency

[2] "Duitse taskforce voor COVID-19 medische apparatuur doelwit van lopende phishingcampagne," Security Intelligence