Un equipo de expertos de IBM Security X-Force ha descubierto una campaña de phishing dirigida a empresas relacionadas con el proceso de la cadena de frío de las vacunas, esencial para garantizar su conservación segura en entornos de temperatura controlada durante su almacenamiento y transporte. El análisis indica que esta operación planificada comenzó en septiembre de 2020.
La campaña se extendió a seis países y se dirigió a organizaciones probablemente asociadas con el programa «Plataforma de Optimización de Equipos de Cadena de Frío» (CCEOP) de Gavi Vaccine Alliance, cuyo objetivo es fortalecer las cadenas de suministro de las vacunas, optimizar la equidad de la inmunización y garantizar una respuesta médica ágil a los brotes de enfermedades infecciosas. Ésta se llevó a cabo a través de la falsificación de correos electrónicos, en los que el atacante se hizo pasar por un directivo de Haier Biomedical, una compañía china proveedora del programa CCEOP.
Haciéndose pasar por este ejecutivo, el atacante envió correos electrónicos de phishing a organizaciones proveedoras de material de transporte dentro de la cadena de frío de las vacunas de la COVID-19. Entre los objetivos de esta campaña se incluía a la Dirección General de Impuestos y Unión Aduanera de la Comisión Europea, así como a organizaciones de los sectores de energía, fabricación, la creación de sitios web y soluciones de software y seguridad en Internet, con sede en Alemania, Italia, Corea del Sur, República Checa, Europa y Taiwán. Dada la especialización y la distribución mundial de las organizaciones a las que se dirigía esta campaña, es muy probable que los atacantes conocieran íntimamente los componentes críticos y a los agentes implicados en la cadena de frío de la vacuna.
Los correos electrónicos de spear phishing se enviaron a varios ejecutivos de ventas, compras, tecnologías de la información y finanzas que probablemente estaban involucrados en el proceso de la cadena de frío de las vacunas. Los emails se planteaban como solicitudes de cotizaciones (RFQ) relacionadas con el programa CCEOP, y contenían archivos adjuntos HTML maliciosos que se abrían localmente, lo que provocaba que los destinatarios introdujeran sus credenciales para ver el archivo.
IBM Security X-Force considera que el propósito de esta campaña pudo haber sido recopilar contraseñas, posiblemente para obtener más adelante un acceso no autorizado a redes corporativas e información sensible relacionada con la distribución de la vacuna de la COVID-19. Aunque nadie se ha atribuido en firme la autoría de estos ataques, el equipo de expertos de IBM cree que podría tratarse de ataques procedentes de un Estado-Nación, debido a la precisión en la selección de los objetivos y las organizaciones mundiales clave en el proceso.
Detectada esta campaña, IBM Security X-Force ha seguido protocolos de divulgación responsables y ha notificado a las entidades y autoridades apropiadas sobre esta operación dirigida.