Nu de eerste farmaceutische bedrijven op het punt staan om hun coronavaccins te distribueren, maken hackers zich op om toe te slaan. De vaccins moeten onder strike lage temperaturen getransporteerd en opgeslagen worden. Fabrikanten die deze koelapparaten maken lopen het risico om het doelwit te worden van een wereldwijde spearphishingaanval.Het Security X-Force team van IBM zegt hiervoor aanwijzingen te hebben. Op de website van Security Intelligence delen ze hun bevindingen.
Bijna heel het jaar zit een groot deel van werkend Nederland noodgedwongen thuis vanwege het coronavirus. Restaurants en cafés zijn momenteel weer gesloten en sportclubs mogen geen teamsports en -activiteiten aanbieden. En sinds 1 december geldt er een mondkapjesplicht voor iedereen die een gesloten, publiekelijk toegankelijke ruimte bezoekt, zoals musea, winkels of kapperszaak. En het einde van deze beperkte lockdown is voorlopig nog niet in zicht.
Maar er is licht aan het einde van de tunnel. De afgelopen weken hebben farmaceutische bedrijven als Pfizer en BioNTech vaccins aangeboden die tot wel 90 procent effectief zouden zijn tegen het coronavirus. De distributie en opslag van het vaccin is nog een hele operatie, evenals het organiseren van het vaccinatieprogramma door overheden. Eén van de aspecten die een grote impact op het proces heeft, is het gegeven dat het vaccin van Pfizer en BioNTech opgeslagen en getransporteerd moeten worden bij temperaturen van min 80 graden Celsius.
Het Security X-Force team van IBM stelt dat hackers deze gelegenheid aangrijpen om cyberaanvallen uit te voeren. Het beveiligingsteam heeft een wereldwijde phishingcampagne aan het licht gebracht. Deze campagne omvatte zes landen en richtte zich specifiek op fabrikanten die koelmachines maken om het coronavaccin te transporteren en op te slaan. Zo’n gerichte phishingaanval noemen we ook wel spearphishing.
Hoe steekt de vork in de steel? Volgens het Security X-Force team deden de hackers zich voor als hooggeplaatste medewerkers van Haier Biomedical, een bekend bedrijf binnen de keten die zich bezighoudt met de koeltechniek van het COVID-19 vaccin. Door deze valse identiteit aan te nemen, verstuurden de hackers e-mails naar organisaties die oprecht dachten met het gerenommeerde bedrijf te maken te hebben. In de e-mail waren kwaadaardige HTML-bijlagen toegevoegd die naar nepwebsites leidden.
Volgens de onderzoekers probeerden de daders met deze phishingcampagne inloggegevens te bemachtigen om op een later tijdstip toegang tot het bedrijfsnetwerk te krijgen. Ook zouden ze gevoelige bedrijfsinformatie hebben willen vergaren. Om geloofwaardig over te komen hadden de hackers volgens het Security X-Force team van IBM veel vooronderzoek gedaan. Het past allemaal bij Business Email Compromise (BEC).
De hackers kozen hun doelwitten zorgvuldig uit. Ze hadden hun pijlen gericht op onder meer het directoraat-generaal Belastingen en douane-unie van de Europese Commissie. Ook bedrijven in de energie- en IT-sector waren het doelwit van de hackers. De phishingmails zijn naar minimaal tien bedrijven gestuurd.
Wie er verantwoordelijk is voor de spearphishingcampagne kunnen de onderzoekers van het Security X-Force team niet met zekerheid zeggen. “Maar de precisie en aard van de organisaties wijst in de richting van een statelijke actor”, aldus IBM.
Onlangs wezen anonieme bronnen Noord-Koreaanse staatshackers aan voor de mislukte cyberaanval op AstraZeneca. Daarbij deden de hackers zich voor als recruiters en boden ze medewerkers van de farmaceut een lucratieve (niet-bestaande) baan aan. In de e-mails die ze verstuurden zat een bijlage die voorzien was van kwaadaardige code om toegang te krijgen tot de computer van het slachtoffer. De poging om toegang te krijgen tot het bedrijfsnetwerk mislukte, Noord-Korea weigerde om te reageren op het cyberincident.
Het Security X-Force team eindigt zijn analyse met een aantal aanbevelingen. De eerste tip van de medewerkers is om het systeem van incidentenmeldingen te testen. Als medewerkers iets vreemds tegenkomen, moet het voor hen duidelijk zijn hoe ze hiermee moeten omgaan en bij wie ze dit moeten melden. Het doel is niet om de schuld in iemands schoenen te schuiven, maar om daarvan te leren en eventueel beveiligingsmaatregelen aan te passen of op te schroeven.
Wees open en eerlijk over cyberincidenten, zo luidt de tweede tip. Veel bedrijven houden dergelijke gebeurtenissen vaak voor zich, uit angst dat het hun imago en reputatie aanpast bij stakeholders. De insteek zou eigenlijk moeten zijn dat bedrijven die getroffen zijn door een cyberaanval hun ervaringen en lessen met de sector delen. Zo weten zij hoe ze eventuele dreigingen kunnen afslaan of het hoofd bieden.
Het derde advies gaat over het vertrouwen dat je hebt in de systemen waar een bedrijf mee werkt. Deze worden vaak door diverse derde partijen geleverd en sluiten (vanuit beveiligingsperspectief bekeken) mogelijk niet altijd goed op elkaar aan. Robuuste monitoring en audits door onafhankelijke partijen brengen eventuele kwetsbaarheden aan het licht.
Met een goede logische toegangsbeheer zorg je dat alleen bevoegden toegang hebben tot specifieke informatie en systemen. Tot slot adviseert het Security X-Force team om multifactorauthenticatie (MFA) in alle geledingen van de organisatie door te voeren en regelmatig veiligheidstrainingen voor het personeel te organiseren zodat ze cyberaanvallen en -dreigingen beter kunnen herkennen.
