随着COVID-19疫苗的关键性的工作已经完成,辉瑞、Moderna和其他生物技术公司开始大规模生产疫苗,攻击者现在比以往任何时候都更看重医疗行业的知识产权(IP)。最近几起事件表明,随着防疫工作的不断推进,一些国家正在对这些公司进行网络攻击。
间谍攻击活动最近将目标锁定在了COVID-19疫苗的供应链上,黑客继续用Zebrocy等恶意软件来对疫苗相关的工作机构发起网络攻击。在本月早些时候,网络攻击者攻击访问了辉瑞和BioNTech提交给欧盟监管机构的有关疫苗的文件。
最近的这些攻击并不是什么新鲜事。自2020年1月以来,黑客就一直试图从全球范围内的新冠肺炎大流行这个事件中进行获利。
7月,美国国土安全部(DHS)警告称,与俄罗斯有关的APT29(又名Cozy Bear或The Dukes)一直在针对英国、加拿大和美国的研究公司进行网络攻击。国土安全部警告说,这个先进的持续威胁(APT)集团希望从学术机构或者制药机构窃取COVID-19疫苗的研究成果。
同样,美国司法部最近指控了由中国资助的网络黑客对COVID-19研究机构Moderna进行的间谍攻击。黑客窃取疫苗研究的数据和信息,这些重大事件应该会给研究公司和公共部门敲响警钟。库里说:"问题不是会不会被黑客攻击,而是攻击已经发生了多少次的问题。
他补充说,由国家支持的犯罪集团资金充足、非常有耐心,而且技术高超。这意味着很可能有更多的攻击行为正在进行,但是这些并不是在表面就能看到的。
他说:"一些组织很可能已经渗透到了这些公司,而且还没有被发现,他们正在窃取疫苗研制信息、专利和其他有价值的内容。COVID的疫苗是一种有战略意义(也许是至关重要的)的资产。谁先拿到疫苗,谁就有经济上的优势,它对一个国家及其经济发展来说,至少价值数十亿美元。它是具有直接价值的终极IP。"
网络安全公司Digitalware首席技术官Rob Bathurst表示,关于APT渗透目标的方式,像Emotet或Trickbot这样的商业木马就是特地为企业或者某些复杂的网络环境设计的。这些后门可以获得持久性,并为黑客进一步入侵受害者的网络系统提供了平台。
他说:"攻击者的手法一般是先尽量使用简单易获取的工具来完成攻击,通常是先使用商业恶意软件,只有在攻击特定的目标时才使用定制的软件"。
国土安全部就警告说,定制的攻击套件确实已经被发现了,比如APT29正在使用名为 "WellMess "和 "WellMail "的高级定制恶意软件。
就保护IP而言,最好的防御方式就是像以前一样从最基础的部分开始。犯罪分子进入任何计算机网络中的最常见方法之一是通过网络钓鱼,员工点击一封可疑的电子邮件,攻击者就会投放上述的一种后门。这是今年在世卫组织攻击事件中发现的一种攻击策略,通过仿造世卫组织的内部电子邮件系统来制作一个网络钓鱼页面,并打算从多个员工那里窃取密码。
Curry说:"为了对抗这种类型的网络攻击,公司需要继续完善他们的网络安全措施,进行全天候的威胁情报猎杀,并提高他们尽早发现恶意攻击的能力,同时还需要对员工进行安全意识培训,员工不应打开来源不明的附件,也千万不要下载来源可疑的文件。"
在预防恶意软件方面,巴瑟斯特说:"没有任何解决方案是完美的,防止IP窃取的唯一方法就是防止刚开始进行的钓鱼攻击,并将损害值降到最低。"
为此,公司可以使用现代化的病毒防护措施,并结合行为分析和模式匹配、二进制分析和执行前分析等功能。而且,公司应该定期审查网络防御设备的配置,不仅仅只是检查防火墙的规则。
巴瑟斯特补充说,供应链的安全也很关键。本月早些时候,IBM Security X-Force的研究人员发现了一个复杂的网络钓鱼活动,目标是COVID-19 "冷链 "相关的公司的证书,这些公司通过确保疫苗在适宜的环境中进行储存和运输,确保疫苗的安全保存。
供应链攻击包括针对研究人员、政府机构、大学、制药公司、治疗病例的医院以及参与制造成分的公司的攻击。但是这些攻击与大范围的SolarWinds供应链攻击是不同的。
11月,全球生物技术公司Miltenyi Biotec报告了另外一起攻击事件,目前该公司表示一直在与恶意软件攻击作斗争。这些攻击正在干扰研究COVID-19治疗方法的研究人员的工作。
Bathurst解释说:"如果攻击者希望获取疫苗相关的数据,那么攻击可能来自于能够访问你的数据的第三方研究人员,你的临床试验数据库,你的研究团队,他们的家用电脑,表格上的笔记,实验室设备内存或存储,甚至是控制药物制造工厂的工业控制系统。"
研究人员称,最重要的是,这些攻击的风险太高,间谍攻击很快就会停止。事实上,最糟糕的情况可能还没有到来。
Bathurst说:"随着流感季节的到来,我看到目前的攻击活动急剧增加,甚至已经超出了所报道的内容,继续利用他们在整个生态中可以利用的一切来获取信息,这符合国家情报机构的利益。"
上周,卡巴斯基的研究人员报告称,一个被称为Lazarus Group的高级持久性威胁集团和其他由国家支持的网络攻击者正试图窃取COVID-19的研究成果,以加快他们国家的疫苗研发工作。
本文翻译自:https://threatpost.com/hackers-amp-up-covid-19-ip-theft-attacks/162634/如若转载,请注明原文地址: