随着COVID-19辉瑞、Moderna与其他生物技术公司一起,攻击者现在比以往任何时候都更关注医疗行业的知识产权(IP)。最近几起事件表明,随着防疫工作的不断推进,一些国家正在攻击这些公司。
最近,间谍攻击活动锁定了目标。COVID-19在疫苗供应链上,黑客继续使用Zebrocy等待恶意软件对疫苗相关工作机构进行网络攻击。本月早些时候,网络攻击者访问了辉瑞和BioNTech向欧盟监管机构提交疫苗文件。
最近的攻击并不新鲜。自2020年1月以来,黑客一直试图从全球新冠肺炎流行中获利。
7月,美国国土安全部(DHS)警告称,与俄罗斯有关的警告称APT29(又名Cozy Bear或The Dukes)它一直在攻击英国、加拿大和美国的研究公司。国土安全部警告说,这种先进的持续威胁(APT)集团希望从学术机构或制药机构窃取COVID-19疫苗研究成果。
同样,美国司法部最近指控中国资助的网络黑客COVID-19研究机构Moderna间谍攻击。黑客窃取疫苗研究的数据和信息,这些重大事件应该给研究公司和公共部门敲响警钟。库里说:"问题不是黑客是否会攻击,而是攻击发生了多少次。
他补充说,国家支持的犯罪集团有足够的资金、耐心和高超的技术。这意味着更多的攻击可能正在进行中,但表面上看不到。
他说:"有些组织很可能已经渗透到这些公司,还没有被发现,他们正在窃取疫苗开发信息、专利和其他有价值的内容。COVID疫苗是一种具有战略意义的资产至关重要)的资产。谁先接种疫苗,谁就有经济优势。对于一个国家及其经济发展来说,它至少值几十亿美元。这是一个具有直接价值的终极IP。"
网络安全公司Digitalware首席技术官Rob Bathurst表示,关于APT渗透目标的方式,像Emotet或Trickbot这种商业木马是专门为企业或一些复杂的网络环境设计的。这些后门可以持久,为黑客进一步入侵受害者的网络系统提供了平台。
他说:"攻击者通常使用简单易获得的工具来完成攻击,通常使用商业恶意软件,只有在攻击特定目标时才使用定制软件"。
国土安全部警告说,定制的攻击套件已经被发现,例如APT29使用名为 "WellMess "和 "WellMail "高级定制恶意软件。
就保护IP最好的防御方法是从最基本的部分开始,就像以前一样。犯罪分子进入任何计算机网络最常见的方法之一是通过网络钓鱼。当员工点击一封可疑的电子邮件时,攻击者将放置上述后门。这是今年世卫组织攻击中发现的攻击策略。它通过模仿世卫组织的内部电子邮件系统制作在线钓鱼页面,并计划从多名员工那里窃取密码。
Curry说:"为了对抗这种类型的网络攻击,公司需要继续完善其网络安全措施,全天候威胁情报狩猎,提高其尽快发现恶意攻击的能力,但也需要对员工进行安全意识培训,员工不得打开未知来源的附件,也不得下载可疑来源的文件。"
巴瑟斯特说:"没有完美的解决方案,防止IP盗窃的唯一方法是防止刚开始的钓鱼攻击,并将损害值降到最低。"
因此,公司可以采取现代病毒防护措施,结合行为分析和模式匹配、二进制分析和实施前分析。此外,公司应定期检查网络防御设备的配置,而不仅仅是防火墙的规则。
巴瑟斯特补充说,供应链的安全也至关重要。本月早些时候,IBM Security X-Force研究人员发现了一项复杂的在线钓鱼活动,目标是COVID-19 "冷链 "这些公司通过确保疫苗在适当的环境中储存和运输,确保疫苗的安全保存。
供应链攻击包括对研究人员、政府机构、大学、制药公司、医院和参与制造成分的公司的攻击。但这些攻击是广泛的SolarWinds供应链攻击不同。
11月,全球生物技术公司Miltenyi Biotec该公司报告了另一起攻击,称它一直在与恶意软件攻击作斗争。这些攻击正在干扰研究COVID-19研究人员治疗方法的工作。
Bathurst解释说:"如果攻击者想要获与疫苗相关的数据,攻击可能来自第三方研究人员,他们可以访问你的数据,你的临床试验数据库,你的研究团队,他们的家用电脑,表格上的笔记,实验室设备的内存或存储,甚至控制药品制造厂的工业控制系统。"
研究人员说,最重要的是,这些攻击的风险太高,间谍攻击很快就会停止。事实上,最糟糕的情况可能还没有到来。
Bathurst说:"随着流感季节的到来,我看到目前的攻击活动急剧增加,甚至超出了报告,并继续使用他们在整个生态系统中可以使用的一切来获取信息,这符合国家情报机构的利益。"
上周,卡巴斯基的研究人员报告说,一个被称为Lazarus Group国家支持的高级持久威胁集团和其他网络攻击者正试图窃取COVID-19为加快其国家疫苗研发,研究成果。
本文翻译自:https://threatpost.com/hackers-amp-up-covid-19-ip-theft-attacks/162634/