Таинственная кибергруппировка атакует цепочку поставок вакцин против COVID-19

Таинственная кибергруппировка атакует цепочку поставок вакцин против COVID-19

Злоумышленники атакуют руководителей компаний, входящих в холодовую цепь поставок вакцин против коронавируса.

image

Специалисты IBM X-Force обнаружили вредоносную кампанию, нацеленную на организации, связанные с хранением и транспортировкой вакцин против COVID-19. Эксперты не смогли связать кампанию с какой-то конкретной киберпреступной группировкой, но выявили отличительные признаки, характерные для хакеров, финансируемых правительствами.

В ходе атак злоумышленники рассылают своим жертвам фишинговые письма с целью похищения их учетных данных для авторизации в электронной почте и других приложениях. Киберпреступники атаковали широкий круг компаний, секторов и государственных организаций, в том числе Генеральный директорат Европейской комиссии по налогообложению и Таможенному союзу, осуществляющий надзор за перемещением товаров через границы, в том числе медицинского назначения.

Злоумышленники также атаковали производителя солнечных панелей для транспортных холодильников, в которых перевозятся вакцины, и нефтехимическую компанию, производящую сухой лед, используемый для транспортировки вакцин.

Еще одна жертва группировки – IT-компания в Германии, создающая сайты для производителей фармацевтической продукции, перевозчиков, биотехнологических компаний и производителей электрических компонентов для морской, наземной и воздушной навигации и связи.

Злоумышленники атакуют избранных руководителей каждой компании. Обычно это лица, работающие в отделах продаж, закупок, IT и финансов, причастных к так называемой холодовой цепи поставок – транспортировке вакцин с соблюдением необходимого температурного режима.

Как правило, киберпреступники отправляют жертве электронное письмо якобы от имени китайской компании Haier Biomedical, являющейся официальным участником программы ООН «Платформа оптимизации оборудования холодовой цепи поставок» (Cold Chain Equipment Optimization Platform, CCEOP). Фишинговые письма замаскированы под связанные с CCEOP запросы коммерческого предложения.

В письма вложены вредоносные HTML-файлы, которые пользователь должен загрузить и открыть локально на своем компьютере. После открытия файл запрашивает у жертвы учетные данные, якобы для того, чтобы она могла просмотреть его содержимое. Такой подход освобождает злоумышленников от необходимости создавать фишинговые online-страницы, которые могут быть обнаружены исследователями безопасности или правоохранительными органами.

Жертвами киберпреступников стали организации не только в Германии, но также в Италии, Чехии и других странах Европы, Южной Корее и на Тайване.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.