IBM ha individuato una campagna di phishing globale – cioè di invio di mail che impersonificano entità o individui per indurre in errore il destinatario e poi muovere attacchi informatici – che prende di mira organizzazioni associate allo sviluppo della catena del freddo nei vaccini per il COVID-19. Si tratta di una componente essenziale della supply chain, della catena di approvvigionamento del vaccino, perché deve assicurare la sua corretta e sicura conservazione in ambienti a temperatura controllata.
Ora, secondo IBM, dal settembre 2020 organizzazioni e aziende associate a un programma internazionale per gestire la catena del freddo sono state prese di mira con tentativi di phishing, in cui si invia una mail che finge di arrivare da qualcun altro. Nello specifico gli attaccanti hanno simulato di essere un dirigente della Haier Biomedical, un’azienda cinese reale e leader nella fornitura di apparecchiature per la catena del freddo (tra le principali, oltre a Haier Biomedical, ricordo che ci sono Arctiko, Evermed, Eppendorf, Philipp Kirsch, American Biotech Supply, le cito anche perché mi chiedo se non ci siano o ci saranno altri tentativi di impersonificazione diretti contro aziende del settore).
I cybercriminali hanno dunque inviato delle mail (usando un dominio simile a quello della società) a una serie di organizzazioni e di fornitori di materiali di supporto collegati al trasporto e alla distribuzione del vaccino. L’obiettivo era fare incetta di credenziali con cui entrare nei sistemi delle vittime. Tra i target anche DG-TAXUD, la direzione generale della Commissione responsabile della politica dell’UE in materia di fiscalità e dogane, oltre a organizzazioni nel settore energetico, manifatturiero, e di servizi informatici dislocate in Italia, Germania, Repubblica Ceca, altri Paesi nell’orbita europea, e poi ancora Corea del Sud e Taiwan. Le mail sono state inviate a dipendenti nel settore vendite o procurement, finance o IT. Ma uno dei tratti comuni dei target, sostiene IBM, è di essere collegati al programma CCEOP (Cold Chain Equipment Optimization Platform) lanciato da vari organismi internazionali, che lavora alla distribuzione del vaccino a livello globale. Molte delle potenziali vittime avrebbero potuto costituire a sua volta un possibile punto di accesso per altre organizzazioni che lavorano nell’ambito dei vaccini (SecurityIntelligence).
Si tratta dunque di una campagna che sembra voler scavarsi una strada proprio a partire dalla supply chain. IBM non si sbilancia sulla attribuzione o la motivazione, anche se propende per un attore “statale”. Tuttavia il tipo di attacchi descritti certo potrebbero avere una componente di spionaggio ma anche più prosaicamente fini criminali, aprendo la strada a cyberestorsioni, ransomware e altro. In un settore non solo estremamente sensibile in questo momento, ma che ha anche una dannata fretta. In pratica, la preda perfetta.
Come scrive Agenda Digitale: “Praticamente ogni fase del lavoro delle aziende farmaceutiche per produrre un vaccino è stata presa di mira dagli hacker. (…). In maniera rapida tutti i vaccini attualmente in fase 3 (10 al momento della stesura di questo pezzo) inizieranno il processo di revisione da parte delle autorità, l’ultimo step prima della diffusione al pubblico. Da questo momento in poi il focus dei vari attaccanti si sposterà prima verso la filiera di produzione e poi sulla linea di distribuzione dei vaccini. (…) Man mano che i vaccini passeranno alla fase di revisione, la pressione sugli istituti di ricerca scenderà perché quegli stessi dati saranno più facilmente ottenibili con mezzi tradizionali. La dinamica si sposta quindi sul controllo della distribuzione, la fase forse più delicata, e tutto sarà deciso dalla tipologia di interessi in gioco. Se si dovesse passare da un interesse verso le metodologie di ricerca ad un interesse strategico per il controllo della catena, lo scenario cambierebbe nettamente, passando dall’intelligence al sabotaggio”.
Anche in Italia: gli attacchi alla Irbm per il vaccino AstraZeneca
Ma attacchi di cyberspionaggio in particolare contro chi lavora sul vaccino per il Covid-19 sono in primo piano anche in una intervista di venerdì su Repubblica. Qui Piero Di Lorenzo, presidente della Irbm di Pomezia (che produce il vaccino AstraZeneca), dice che da quando è stato “reso pubblico il prezzo di vendita del vaccino (2,80 euro a dose, ndr) (…) abbiamo cominciato a subire attacchi hacker professionali violentissimi”. Sette attacchi, dice sempre Di Lorenzo, “lanciati dall’estero”, il cui obiettivo sarebbe stato di “entrare nel server dell’Irbm, rubare i dati sensibili dell’operazione vaccino. (…) Pensi che ora non possiamo più utilizzare mail e telefoni per tutte le comunicazioni di dati sensibili e le garantisco che è un bel granello di sabbia nell’ingranaggio”.
Forse è il caso che chiunque lavori al vaccino in senso lato, inclusa la logistica, inizi di corsa, se ancora non l’avesse fatto, ad alzare le difese (oltre a evitare comunicazioni delicate in chiaro). C’è qualcuno che se ne sta occupando a livello governativo immagino. Spero.
En passant, in settimana sul quotidiano Domani è uscito un mio approfondimento sugli attacchi ransomware contro grandi aziende italiane. Lo trovate qua (paywall). Ospedali e Made in Italy a rischio cyber estorsioni
Questo articolo è un estratto della newsletter di Guerre di Rete del 6 dicembre 2020