隨著COVID-19疫苗的關鍵性的工作已經(jīng)完成，輝瑞、Moderna和其他生物技術公司開始大規(guī)模生產(chǎn)疫苗，攻擊者現(xiàn)在比以往任何時候都更看重醫(yī)療行業(yè)的知識產(chǎn)權(IP)。最近幾起事件表明，隨著防疫工作的不斷推進，一些國家正在對這些公司進行網(wǎng)絡攻擊。

間諜攻擊活動最近將目標鎖定在了COVID-19疫苗的供應鏈上，黑客繼續(xù)用Zebrocy等惡意軟件來對疫苗相關的工作機構發(fā)起網(wǎng)絡攻擊。在本月早些時候，網(wǎng)絡攻擊者攻擊訪問了輝瑞和BioNTech提交給歐盟監(jiān)管機構的有關疫苗的文件。

最近的這些攻擊并不是什么新鮮事。自2020年1月以來，黑客就一直試圖從全球范圍內的新冠肺炎大流行這個事件中進行獲利。

7月，美國國土安全部(DHS)警告稱，與俄羅斯有關的APT29(又名Cozy Bear或The Dukes)一直在針對英國、加拿大和美國的研究公司進行網(wǎng)絡攻擊。國土安全部警告說，這個先進的持續(xù)威脅(APT)集團希望從學術機構或者制藥機構竊取COVID-19疫苗的研究成果。

同樣，美國司法部最近指控了由中國資助的網(wǎng)絡黑客對COVID-19研究機構Moderna進行的間諜攻擊。黑客竊取疫苗研究的數(shù)據(jù)和信息，這些重大事件應該會給研究公司和公共部門敲響警鐘。庫里說："問題不是會不會被黑客攻擊，而是攻擊已經(jīng)發(fā)生了多少次的問題。

他補充說，由國家支持的犯罪集團資金充足、非常有耐心，而且技術高超。這意味著很可能有更多的攻擊行為正在進行，但是這些并不是在表面就能看到的。

他說:"一些組織很可能已經(jīng)滲透到了這些公司，而且還沒有被發(fā)現(xiàn)，他們正在竊取疫苗研制信息、專利和其他有價值的內容。COVID的疫苗是一種有戰(zhàn)略意義(也許是至關重要的)的資產(chǎn)。誰先拿到疫苗，誰就有經(jīng)濟上的優(yōu)勢，它對一個國家及其經(jīng)濟發(fā)展來說，至少價值數(shù)十億美元。它是具有直接價值的終極IP。"

網(wǎng)絡安全公司Digitalware首席技術官Rob Bathurst表示，關于APT滲透目標的方式，像Emotet或Trickbot這樣的商業(yè)木馬就是特地為企業(yè)或者某些復雜的網(wǎng)絡環(huán)境設計的。這些后門可以獲得持久性，并為黑客進一步入侵受害者的網(wǎng)絡系統(tǒng)提供了平臺。

他說："攻擊者的手法一般是先盡量使用簡單易獲取的工具來完成攻擊，通常是先使用商業(yè)惡意軟件，只有在攻擊特定的目標時才使用定制的軟件"。

國土安全部就警告說，定制的攻擊套件確實已經(jīng)被發(fā)現(xiàn)了，比如APT29正在使用名為 "WellMess "和 "WellMail "的高級定制惡意軟件。

就保護IP而言，最好的防御方式就是像以前一樣從最基礎的部分開始。犯罪分子進入任何計算機網(wǎng)絡中的最常見方法之一是通過網(wǎng)絡釣魚，員工點擊一封可疑的電子郵件，攻擊者就會投放上述的一種后門。這是今年在世衛(wèi)組織攻擊事件中發(fā)現(xiàn)的一種攻擊策略，通過仿造世衛(wèi)組織的內部電子郵件系統(tǒng)來制作一個網(wǎng)絡釣魚頁面，并打算從多個員工那里竊取密碼。

Curry說："為了對抗這種類型的網(wǎng)絡攻擊，公司需要繼續(xù)完善他們的網(wǎng)絡安全措施，進行全天候的威脅情報獵殺，并提高他們盡早發(fā)現(xiàn)惡意攻擊的能力，同時還需要對員工進行安全意識培訓，員工不應打開來源不明的附件，也千萬不要下載來源可疑的文件。"

在預防惡意軟件方面，巴瑟斯特說："沒有任何解決方案是完美的，防止IP竊取的唯一方法就是防止剛開始進行的釣魚攻擊，并將損害值降到最低。"

為此，公司可以使用現(xiàn)代化的病毒防護措施，并結合行為分析和模式匹配、二進制分析和執(zhí)行前分析等功能。而且，公司應該定期審查網(wǎng)絡防御設備的配置，不僅僅只是檢查防火墻的規(guī)則。

[[373786]]

巴瑟斯特補充說，供應鏈的安全也很關鍵。本月早些時候，IBM Security X-Force的研究人員發(fā)現(xiàn)了一個復雜的網(wǎng)絡釣魚活動，目標是COVID-19 "冷鏈 "相關的公司的證書，這些公司通過確保疫苗在適宜的環(huán)境中進行儲存和運輸，確保疫苗的安全保存。

供應鏈攻擊包括針對研究人員、政府機構、大學、制藥公司、治療病例的醫(yī)院以及參與制造成分的公司的攻擊。但是這些攻擊與大范圍的SolarWinds供應鏈攻擊是不同的。

11月，全球生物技術公司Miltenyi Biotec報告了另外一起攻擊事件，目前該公司表示一直在與惡意軟件攻擊作斗爭。這些攻擊正在干擾研究COVID-19治療方法的研究人員的工作。

Bathurst解釋說："如果攻擊者希望獲取疫苗相關的數(shù)據(jù)，那么攻擊可能來自于能夠訪問你的數(shù)據(jù)的第三方研究人員，你的臨床試驗數(shù)據(jù)庫，你的研究團隊，他們的家用電腦，表格上的筆記，實驗室設備內存或存儲，甚至是控制藥物制造工廠的工業(yè)控制系統(tǒng)。"

研究人員稱，最重要的是，這些攻擊的風險太高，間諜攻擊很快就會停止。事實上，最糟糕的情況可能還沒有到來。

Bathurst說："隨著流感季節(jié)的到來，我看到目前的攻擊活動急劇增加，甚至已經(jīng)超出了所報道的內容，繼續(xù)利用他們在整個生態(tài)中可以利用的一切來獲取信息，這符合國家情報機構的利益。"

上周，卡巴斯基的研究人員報告稱，一個被稱為Lazarus Group的高級持久性威脅集團和其他由國家支持的網(wǎng)絡攻擊者正試圖竊取COVID-19的研究成果，以加快他們國家的疫苗研發(fā)工作。

本文翻譯自：https://threatpost.com/hackers-amp-up-covid-19-ip-theft-attacks/162634/