隨著COVID-19疫苗的關(guān)鍵性的工作已經(jīng)完成，輝瑞、Moderna和其他生物技術(shù)公司開始大規(guī)模生產(chǎn)疫苗，攻擊者現(xiàn)在比以往任何時(shí)候都更看重醫(yī)療行業(yè)的知識產(chǎn)權(quán)（IP）。最近幾起事件表明，隨著防疫工作的不斷推進(jìn)，一些國家正在對這些公司進(jìn)行網(wǎng)絡(luò)攻擊。

間諜攻擊活動最近將目標(biāo)鎖定在了COVID-19疫苗的供應(yīng)鏈上，黑客繼續(xù)用Zebrocy等惡意軟件來對疫苗相關(guān)的工作機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)攻擊。在本月早些時(shí)候，網(wǎng)絡(luò)攻擊者攻擊訪問了輝瑞和BioNTech提交給歐盟監(jiān)管機(jī)構(gòu)的有關(guān)疫苗的文件。

最近的這些攻擊并不是什么新鮮事。自2020年1月以來，黑客就一直試圖從全球范圍內(nèi)的新冠肺炎大流行這個(gè)事件中進(jìn)行獲利。

7月，美國國土安全部（DHS）警告稱，與俄羅斯有關(guān)的APT29（又名Cozy Bear或The Dukes）一直在針對英國、加拿大和美國的研究公司進(jìn)行網(wǎng)絡(luò)攻擊。國土安全部警告說，這個(gè)先進(jìn)的持續(xù)威脅（APT）集團(tuán)希望從學(xué)術(shù)機(jī)構(gòu)或者制藥機(jī)構(gòu)竊取COVID-19疫苗的研究成果。

同樣，美國司法部最近指控了由中國資助的網(wǎng)絡(luò)黑客對COVID-19研究機(jī)構(gòu)Moderna進(jìn)行的間諜攻擊。黑客竊取疫苗研究的數(shù)據(jù)和信息，這些重大事件應(yīng)該會給研究公司和公共部門敲響警鐘。庫里說：“問題不是會不會被黑客攻擊，而是攻擊已經(jīng)發(fā)生了多少次的問題。

他補(bǔ)充說，由國家支持的犯罪集團(tuán)資金充足、非常有耐心，而且技術(shù)高超。這意味著很可能有更多的攻擊行為正在進(jìn)行，但是這些并不是在表面就能看到的。

他說：”一些組織很可能已經(jīng)滲透到了這些公司，而且還沒有被發(fā)現(xiàn)，他們正在竊取疫苗研制信息、專利和其他有價(jià)值的內(nèi)容。COVID的疫苗是一種有戰(zhàn)略意義（也許是至關(guān)重要的）的資產(chǎn)。誰先拿到疫苗，誰就有經(jīng)濟(jì)上的優(yōu)勢，它對一個(gè)國家及其經(jīng)濟(jì)發(fā)展來說，至少價(jià)值數(shù)十億美元。它是具有直接價(jià)值的終極IP。“

網(wǎng)絡(luò)安全公司Digitalware首席技術(shù)官Rob Bathurst表示，關(guān)于APT滲透目標(biāo)的方式，像Emotet或Trickbot這樣的商業(yè)木馬就是特地為企業(yè)或者某些復(fù)雜的網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的。這些后門可以獲得持久性，并為黑客進(jìn)一步入侵受害者的網(wǎng)絡(luò)系統(tǒng)提供了平臺。

他說：”攻擊者的手法一般是先盡量使用簡單易獲取的工具來完成攻擊，通常是先使用商業(yè)惡意軟件，只有在攻擊特定的目標(biāo)時(shí)才使用定制的軟件“。

國土安全部就警告說，定制的攻擊套件確實(shí)已經(jīng)被發(fā)現(xiàn)了，比如APT29正在使用名為 ”WellMess “和 ”WellMail “的高級定制惡意軟件。

就保護(hù)IP而言，最好的防御方式就是像以前一樣從最基礎(chǔ)的部分開始。犯罪分子進(jìn)入任何計(jì)算機(jī)網(wǎng)絡(luò)中的最常見方法之一是通過網(wǎng)絡(luò)釣魚，員工點(diǎn)擊一封可疑的電子郵件，攻擊者就會投放上述的一種后門。這是今年在世衛(wèi)組織攻擊事件中發(fā)現(xiàn)的一種攻擊策略，通過仿造世衛(wèi)組織的內(nèi)部電子郵件系統(tǒng)來制作一個(gè)網(wǎng)絡(luò)釣魚頁面，并打算從多個(gè)員工那里竊取密碼。

Curry說：”為了對抗這種類型的網(wǎng)絡(luò)攻擊，公司需要繼續(xù)完善他們的網(wǎng)絡(luò)安全措施，進(jìn)行全天候的威脅情報(bào)獵殺，并提高他們盡早發(fā)現(xiàn)惡意攻擊的能力，同時(shí)還需要對員工進(jìn)行安全意識培訓(xùn)，員工不應(yīng)打開來源不明的附件，也千萬不要下載來源可疑的文件。“

在預(yù)防惡意軟件方面，巴瑟斯特說：”沒有任何解決方案是完美的，防止IP竊取的唯一方法就是防止剛開始進(jìn)行的釣魚攻擊，并將損害值降到最低。“

為此，公司可以使用現(xiàn)代化的病毒防護(hù)措施，并結(jié)合行為分析和模式匹配、二進(jìn)制分析和執(zhí)行前分析等功能。而且，公司應(yīng)該定期審查網(wǎng)絡(luò)防御設(shè)備的配置，不僅僅只是檢查防火墻的規(guī)則。

巴瑟斯特補(bǔ)充說，供應(yīng)鏈的安全也很關(guān)鍵。本月早些時(shí)候，IBM Security X-Force的研究人員發(fā)現(xiàn)了一個(gè)復(fù)雜的網(wǎng)絡(luò)釣魚活動，目標(biāo)是COVID-19 ”冷鏈 “相關(guān)的公司的證書，這些公司通過確保疫苗在適宜的環(huán)境中進(jìn)行儲存和運(yùn)輸，確保疫苗的安全保存。

供應(yīng)鏈攻擊包括針對研究人員、政府機(jī)構(gòu)、大學(xué)、制藥公司、治療病例的醫(yī)院以及參與制造成分的公司的攻擊。但是這些攻擊與大范圍的SolarWinds供應(yīng)鏈攻擊是不同的。

11月，全球生物技術(shù)公司Miltenyi Biotec報(bào)告了另外一起攻擊事件，目前該公司表示一直在與惡意軟件攻擊作斗爭。這些攻擊正在干擾研究COVID-19治療方法的研究人員的工作。

Bathurst解釋說：”如果攻擊者希望獲取疫苗相關(guān)的數(shù)據(jù)，那么攻擊可能來自于能夠訪問你的數(shù)據(jù)的第三方研究人員，你的臨床試驗(yàn)數(shù)據(jù)庫，你的研究團(tuán)隊(duì)，他們的家用電腦，表格上的筆記，實(shí)驗(yàn)室設(shè)備內(nèi)存或存儲，甚至是控制藥物制造工廠的工業(yè)控制系統(tǒng)。“

研究人員稱，最重要的是，這些攻擊的風(fēng)險(xiǎn)太高，間諜攻擊很快就會停止。事實(shí)上，最糟糕的情況可能還沒有到來。

Bathurst說：”隨著流感季節(jié)的到來，我看到目前的攻擊活動急劇增加，甚至已經(jīng)超出了所報(bào)道的內(nèi)容，繼續(xù)利用他們在整個(gè)生態(tài)中可以利用的一切來獲取信息，這符合國家情報(bào)機(jī)構(gòu)的利益?！?/p>

上周，卡巴斯基的研究人員報(bào)告稱，一個(gè)被稱為Lazarus Group的高級持久性威脅集團(tuán)和其他由國家支持的網(wǎng)絡(luò)攻擊者正試圖竊取COVID-19的研究成果，以加快他們國家的疫苗研發(fā)工作。
責(zé)編AJX