Hackers “suspeitos de serem agentes a mando de países” têm executado uma campanha de phishing contra empresas farmacêuticas e outras instituições envolvidas na iminente distribuição de uma vacina contra o novo coronavírus, anunciou a IBM na quinta-feira (3).
Em um post sobre o Security Intelligence divulgando suas descobertas, os pesquisadores do IBM Security X-Force escreveram que “o direcionamento preciso de executivos e organizações globais importantes contém as marcas potenciais de espionagem de estado-nação”, acrescentando que hackers desconhecidos provavelmente buscaram obter “insights avançados na compra e movimentação de uma vacina que pode impactar a vida e a economia global”.
O alvo, de acordo com a IBM, parece ser a “cadeia fria” — um termo para a rede de logística que permite que vacinas e outros medicamentos sejam transportados do ponto de fabricação à distribuição em contêineres de transporte com temperatura controlada. Não se sabe o que os invasores esperavam realizar: os possíveis motivos vão desde roubo de tecnologia a informações que poderiam ser usadas para minar a confiança na vacina ou interromper a distribuição.
Pesquisadores da IBM escreveram que os indivíduos visavam empresas em pelo menos seis países e usavam táticas como se passar por um executivo da Haier Biomedical para enviar e-mails de spear-phishing e direcionar para as páginas de ajuda e suporte de organizações.
Muitos dos alvos estavam ligados ao programa de cadeia fria da aliança internacional de vacinas Gavi e incluíam órgãos da União Europeia essenciais para a distribuição de doses, a Unicef, empresas que fabricam painéis solares usados em armazenamento refrigerado e empresas de TI que protegem as empresas farmacêuticas:
Os alvos incluíam a Direção-Geral da Fiscalidade e União Aduaneira da Comissão Europeia, bem como organizações nos setores de energia, fabricação, criação de sites e software, e soluções de segurança da Internet. São organizações globais sediadas na Alemanha, Itália, Coreia do Sul, República Tcheca, grande Europa e Taiwan.
Os e-mails de spear-phishing enviados incluíam arquivos HTML maliciosos que faziam com que os destinatários digitassem suas credenciais de login, que seriam passadas para os invasores.
A Pfizer e a Moderna, as duas empresas farmacêuticas que fabricam vacinas que devem começar a ser distribuídas em breve nos Estados Unidos, não parecem ser o alvo, de acordo com o New York Times. Também não há informações sobre nenhuma outra empresa americana que possa ser um alvo.
A explicação mais provável é um estado-nação, porque não há um “benefício” claro para os cibercriminosos, acrescentaram os pesquisadores da IBM no comunicado, além da possibilidade de que o conhecimento das rotas de envio de vacinas e requisitos de armazenamento seguro possam ser vendidos como uma “commodity de grande interesse no mercado paralelo”.
Também é possível que hackers possam estar interessados em usar credenciais roubadas para lançar ataques de ransomware em contêineres controlados por computador. De acordo com o Washington Post, não está claro se os hackers tiveram sucesso em alguma de suas tentativas de phishing.
“Essa atividade ocorreu em setembro, o que significa que alguém quer estar adiantado, chegar onde precisa estar no momento crítico”, disse Claire Zaboeva, analista sênior de ameaças cibernéticas do IBM Security X-Force, à Wired. “A porta está realmente aberta. Depois de obter as chaves do reino e estar dentro das muralhas da cidade ou na rede, há uma miríade de objetivos que você pode alcançar, sejam informações críticas — como horários e distribuição — ou ataques destrutivos.”
De acordo com o Times, autoridades federais disseram que a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna dos EUA (CISA, na sigla em inglês) responderá ao alerta da IBM notificando as agências envolvidas na Operação Warp Speed, a iniciativa dos EUA para desenvolver e distribuir uma vacina.
O estrategista de coronavírus da CISA, Josh Corman, disse ao Times que há uma necessidade de intensificar a “diligência de segurança cibernética em cada etapa da cadeia de abastecimento da vacina” e de instituições “envolvidas no armazenamento e transporte de vacinas para reforçar as superfícies de ataque, especialmente em operações de armazenamento refrigerado”.