Depuis plusieurs mois, des hackers ciblent les laboratoires de recherche sur les vaccins contre le Covid-19.
Une campagne mondiale de phishing cible les organisations associées à la distribution de vaccins contre le Covid-19 depuis septembre 2020, selon les chercheurs en sécurité d’IBM.
Dans un article de blog, les analystes Claire Zaboeva et Melissa Frydrych d’IBM X-Force IRIS ont annoncé que la campagne de phishing s’étendait sur six régions: l’Allemagne, l’Italie, la Corée du Sud, la République tchèque, la grande Europe et Taïwan.
La campagne semble être axée sur la «chaîne du froid», le segment de la chaîne d’approvisionnement des vaccins qui maintient les doses au froid pendant leur stockage et leur transport. Certains vaccins doivent rester à des températures extrêmement basses pour rester puissants. Pfizer, par exemple, recommande que son vaccin COVID-19 soit conservé à une température négative de 70 degrés Celsius (plus froid que l’hiver en Antarctique). Cela pose un défi logistique à la société pharmaceutique, qui devra transporter des millions et des millions de doses dans le monde à cette température.
Les attaques se sont concentrées sur des groupes associés à Gavi, une organisation internationale qui promeut l’accès et la distribution des vaccins. Plus précisément, il ciblait les organisations liées à leur plateforme d’optimisation des équipements de la chaîne du froid (CCEOP), qui vise à distribuer et à améliorer une technologie capable de maintenir les vaccins à des températures très froides. Celles-ci comprenaient la direction générale de la fiscalité et de l’union douanière de la Commission européenne, ainsi que des «organisations des secteurs de l’énergie, de la fabrication, de la création de sites Web et des logiciels et des solutions de sécurité Internet».
Selon le billet de blog, les responsables de l’opération de phishing ont envoyé des e-mails aux dirigeants de l’organisation, prétendant être un dirigeant du fournisseur de CCEOP, Haier Biomedical. Les e-mails, qui prétendaient demander des devis liés à la CCEOP, contenaient des pièces jointes HTML qui demandaient les informations d’identification de l’ouvreur, que l’acteur pouvait stocker et utiliser pour obtenir un accès non autorisé sur toute la ligne.
«Nous estimons que le but de cette campagne d’hameçonnage Covid-19 était peut-être de récolter des informations d’identification, éventuellement pour obtenir à l’avenir un accès non autorisé aux réseaux d’entreprise et aux informations sensibles relatives à la distribution du vaccin Covid-19», lit-on dans le blog.
On ne sait pas encore qui est derrière cette campagne, mais les chercheurs soupçonnent un acteur de l’État-nation plutôt qu’un individu ou un groupe privé. «Sans une voie claire vers un retrait, les cybercriminels ne consacreront probablement pas le temps et les ressources nécessaires pour exécuter une opération aussi calculée avec autant de cibles interconnectées et distribuées à l’échelle mondiale», lit-on dans l’article du blog. «Une connaissance approfondie de l’achat et de la circulation d’un vaccin qui peut avoir un impact sur la vie et l’économie mondiale est probablement une cible de grande valeur et hautement prioritaire pour les États-nations.»
IBM recommande aux entreprises impliquées dans le stockage et le transport des vaccins COVID-19 «d’être vigilantes et de rester en état d’alerte pendant cette période». La Cybersecurity and Infrastructure Security Agency (CISA) a émis une alerte encourageant les organisations à examiner le rapport d’IBM.
La recherche et le développement du vaccin contre le Covid-19 a été la cible de multiples cyberattaques cette année. Le gouvernement américain a accusé la Chine de financer et d’exploiter des cellules de piratage pour voler la recherche de vaccins aux États-Unis et à ses alliés en mai, et a accusé deux pirates chinois d’avoir volé des données à des entreprises travaillant sur les traitements et les vaccins en juillet. Les autorités américaines, britanniques et canadiennes ont dénoncé les attaques d’un groupe associé aux services de renseignement russes contre des organisations impliquées dans le développement de vaccins cet été. En novembre, Microsoft a détecté des cyberattaques d’acteurs des États-nations en Russie et en Corée du Nord contre des entreprises utilisant des vaccins à différentes étapes des essais cliniques.
