E-Mail-Spear-Phishing-Angriffe zielen auf COVID-19-Impfstoff-Lieferketten
Unternehmen, die Impfstoffe herstellen und vertreiben, werden weltweit Opfer von Cyberangriffen.
Wichtige Punkte
- Spear-Phishing-Angriffe, die höchstwahrscheinlich von Nationalstaaten ausgehen, richten sich gegen Unternehmen in der Lieferkette für COVID-19-Impfstoffe.
- Die Phishing-E-Mails scheinen von einem tatsächlichen chinesischen Unternehmen zu stammen, das Kühlräume für Impfstoffe anbietet.
- Jedes Unternehmen in der Lieferkette ist aufgefordert, sorgfältig zu handeln, um eine mehrschichtige E-Mail-Sicherheitsabwehr aufzubauen, die vor diesen Angriffen schützt.
Während die USA die Pläne für die Verteilung der ersten 2,9 Millionen Dosen des Impfstoffs COVID-19 fertigstellten, führten Cyber-Akteure einen gezielten Angriff auf Unternehmen durch, die an der Impfstoff-Lieferkette beteiligt sind. In einer Empfehlung der Cybersecurity & Infrastructure Security Agency (CISA) vom 3. Dezember wird davor gewarnt, dass diese Akteure Phishing-E-Mails an Führungskräfte in globalen Organisationen verschickt haben, in denen sie sich als biomedizinisches Unternehmen ausgaben und um Partnerschaften für die Kühllagerung des Impfstoffs baten.[1] Ob die Angriffe erfolgreich waren, konnte bisher nicht festgestellt werden.
Bei den laufenden Angriffen, die von IBM Security X-Force aufgedeckt wurden, verwenden die Cyberkriminellen Spear-Phishing, so genannt, weil die E-Mails an Führungskräfte und Mitarbeiter bestimmter Unternehmen in der Impfstofflieferkette gerichtet sind. Die E-Mail-Phishing-Angriffe begannen im September 2020 und scheinen von einem Mitarbeiter von Haier Biomedical zu stammen, einem chinesischen Unternehmen, das im Rahmen der Cold Chain Equipment Optimization Platform für die Kühllagerung von Impfstoffen qualifiziert ist.
Die Phishing-E-Mails wurden an Organisationen in der Regierung, der Solarpanelherstellung, der Trockeneisproduktion und an IT-Unternehmen versandt, die Kunden bei der Herstellung und den Vertriebskanälen unterstützen. Solarpaneele werden für den Betrieb von Kühlschränken verwendet, die notwendig sind, um den Impfstoff extrem kalt zu halten.
Die Phishing-E-Mail bittet um Angebote für die Teilnahme an dem Programm und verweist den Empfänger auf einen Vertragsentwurf, der als HTML-Dokument angehängt ist. Um das Dokument zu öffnen, wird der Empfänger aufgefordert, seine Anmeldedaten einzugeben. Mit diesen Zugangsdaten könnten sich die Cyberangreifer Zugang zu Unternehmensnetzwerken verschaffen, um Informationen über die Verteilung von Impfstoffen zu sammeln und möglicherweise den Betrieb zu sabotieren.
Email Spear Phisher scheinen nationalstaatliche Akteure zu sein
In Anbetracht der Raffinesse der Angriffe und der Tatsache, dass sie auf Führungskräfte und Mitarbeiter abzielen, die mit der Lagerung und Verteilung von Impfstoffen zu tun haben, handelt es sich bei den Angreifern höchstwahrscheinlich um Nationalstaaten, obwohl IBM nicht in der Lage war, die Quelle eindeutig zu identifizieren.
Dieser Vorfall folgt auf einen Spear-Phishing-Angriff auf deutsche Unternehmen im März 2020, bei dem es darum ging, sich unbefugten Zugang zu PSA-Ausrüstung zu verschaffen.[2] IBM war in der Lage, diesen Angriff auf russische IP-Adressen zurückzuführen. Frühere Untersuchungen haben häufig gezeigt, dass die große Mehrheit der erfolgreichen Datenschutzverletzungen mit Spear-Phishing-Angriffen per E-Mail beginnt.
Dieser jüngste Angriff zeigt, wie wichtig es ist, die Cybersicherheit auf jeder Stufe der Impfstoff-Lieferkette sorgfältig zu prüfen", erklärte Josh Corman, Senior Advisor der CISA für Angelegenheiten im Zusammenhang mit COVID und öffentlicher Sicherheit, in E-Mails an mehrere Medienorganisationen.
Wichtigste Abwehrmaßnahmen gegen Spear Phishing
Normalerweise sind die beiden wichtigsten Schutzmaßnahmen gegen Phishing-E-Mails sichere E-Mail-Gateways (SEGs), die diese E-Mails erkennen und blockieren, bevor sie ihr Ziel erreichen, sowie Schulungen zum Thema Cybersicherheit, in denen die Mitarbeiter lernen, E-Mails zu erkennen und zu ignorieren, die es doch schaffen. Die Phishing-E-Mails, die die COVID-19-Impfstoff-Lieferkette angreifen, sehen jedoch sehr legitim aus - es handelt sich um ausgezeichnete Marken-Imitationen, die von einem Unternehmen zu stammen scheinen, von dem die Empfänger erwarten, dass es sie kontaktiert.
Eine weitere Komplikation besteht darin, dass es bei dem angehängten HTML-Dokument keine Webseiten gibt, die von den Sicherheitsteams entdeckt und entfernt werden könnten. Die Grammatik in der E-Mail ist schwach, aber angesichts der Tatsache, dass das gefälschte biomedizinische Unternehmen seinen Sitz in China hat, können die E-Mail-Empfänger dies logischerweise entschuldigen.
Dennoch können die Unternehmen mehr tun, um sich vor solchen Angriffen zu schützen:
- Schulen Sie Ihre Mitarbeiter regelmäßig in Sachen Cybersicherheit. Warnen Sie sie insbesondere vor der Eingabe von Anmeldedaten als Antwort auf E-Mails.
- Stellen Sie Ihre SEG bereit oder aktualisieren Sie sie. Stellen Sie sicher, dass Ihr Gateway alle Arten von Dateianhängen effektiv scannen kann.
- Verwenden Sie die Multifaktor-Authentifizierung (MFA). Das Erfordernis einer zweiten Methode zur Autorisierung bedeutet, dass gestohlene Anmeldedaten allein nicht ausreichen, um Zugang zu Unternehmensnetzwerken zu erhalten.
- Implementieren Sie Sicherheitspraktiken mit Drittpartnern. Auch wenn Ihr Unternehmen über einen starken Erkennungs- und Reaktionsplan verfügt, sollten Sie sicherstellen, dass die Partnerunternehmen in der Lieferkette ähnlich geschützt sind.
- Teilen Sie Informationen über Angriffe mit Partnerunternehmen. Mehr Informationen führen zu besseren Schutzmaßnahmen. IBM Security X-Force beispielsweise unterhält ein Repository mit identifizierten Bedrohungen, das Unternehmen frei zur Verfügung steht.
- Vertrauen Sie niemandem. Geben Sie den Nutzern nur den Mindestzugang, den sie für ihre Arbeit benötigen.
- Erstellen und testen Sie Reaktionspläne für Zwischenfälle. Dies ist ratsam, um jedem Angriff zuvorzukommen.
Die Quintessenz
Angesichts der entscheidenden Bedeutung des Impfstoffs COVID-19 für die Bekämpfung einer weltweiten Pandemie ist es nicht überraschend, dass Unternehmen, die Impfstoffe herstellen und vertreiben, angegriffen werden. Diese Unternehmen müssen sich über E-Mail-Phishing-Angriffe im Klaren sein und eine starke, mehrschichtige interne Verteidigung sowie Sicherheitspartnerschaften mit anderen Unternehmen in der Lieferkette entwickeln.
[1] "IBM veröffentlicht Bericht über Cyber-Akteure, die es auf die COVID-19-Impfstofflieferkette abgesehen haben," U.S. Cybersecurity & Infrastructure Security Agency
[2] "German Task Force for COVID-19 Medical Equipment Targeted in Ongoing Phishing Campaign," Security Intelligence
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!