[[438454]]

近日，非營(yíng)利性生物經(jīng)濟(jì)信息共享和分析中心(BIO-ISAC)警告稱，一種復(fù)雜程度較高的新型惡意軟件(代號(hào)Tardigrade)正在針對(duì)疫苗生產(chǎn)商。該中心透露，今年至少有兩家從事生物藥物和疫苗制造的大型企業(yè)受到了相同惡意軟件的攻擊，似乎是有針對(duì)性的攻擊。

數(shù)據(jù)自動(dòng)化公司BioBright 創(chuàng)始人兼 BIO-ISAC 董事會(huì)成員 Charles Fracchia 表示，Tardigrade 是一種針對(duì)生物經(jīng)濟(jì)和生物制造領(lǐng)域 Windows 計(jì)算機(jī)的 APT ，“使用前所未有的復(fù)雜和隱蔽的工具”。起初，Tardigrade 可能會(huì)被誤認(rèn)為是常見的勒索軟件，但讓它與眾不同的是其復(fù)雜性和自主性。與勒索軟件不同，Tardigrade 更在意的似乎是泄露數(shù)據(jù)和監(jiān)控受害者。

安全研究人員聲稱，Tardigrade 似乎是 SmokeLoader 惡意軟件家族的一個(gè)變種，但更加自主——能夠自行決定選擇要修改的文件，在整個(gè)組織中橫向移動(dòng)并采取其他行動(dòng)，例如感染 USB 驅(qū)動(dòng)器，而不是依賴指揮和控制中心。Fraccia 指出Tardigrade 將攻擊提升到了一個(gè)新的水平，他認(rèn)為：“這幾乎可以肯定是間諜活動(dòng)，是迄今為止我們?cè)谠擃I(lǐng)域見過的最復(fù)雜惡意軟件，這與國(guó)家黑客組織針對(duì)其他行業(yè)的 APT 攻擊活動(dòng)極其相似。”

盡管Tardigrade是一種較為復(fù)雜的惡意軟件，但其初始感染方式卻很“傳統(tǒng)”——通過電子郵件，誘使收件人打開惡意文件。但 Tardigrade 惡意軟件還可以跨網(wǎng)絡(luò)橫向傳播，甚至感染 U 盤。惡意軟件研究員 Callie Churchwell 透露 Tardigrade 用于橫向傳播的一種方法是網(wǎng)絡(luò)共享，它“會(huì)從列表中創(chuàng)建具有隨機(jī)名稱的文件夾，例如：Prof Margaret Predovic。”

在新冠肺炎疫情大流行期間，世界各地都發(fā)生了針對(duì)制藥公司和生物經(jīng)濟(jì)的攻擊，因?yàn)閻阂夤粽甙l(fā)現(xiàn)該行業(yè)與其對(duì)社會(huì)的更高價(jià)值相比，其防御能力更差。與BIO-ISAC 合作的研究人員表示，對(duì) Tardigrade 能夠做什么的確切分析正在進(jìn)行中，他們認(rèn)為在看到攻擊的持續(xù)蔓延后公開披露是正確的。BIO-ISAC 建議有風(fēng)險(xiǎn)的生物制造組織審查其網(wǎng)絡(luò)隔離，確定組織內(nèi)部保護(hù)的關(guān)鍵資產(chǎn)，測(cè)試和執(zhí)行關(guān)鍵基礎(chǔ)設(shè)施的離線備份，檢查關(guān)鍵生物基礎(chǔ)設(shè)施組件的交付和升級(jí)情況，并且“假設(shè)自己已經(jīng)是攻擊目標(biāo)”以采取響應(yīng)措施。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文