Den britiske regering hævder, at russiske hackere forsøgte at stjæle COVID-19-vaccineundersøgelser
Coronavirus-pandemien er langt fra forbi. Selvom mange lande letter restriktionerne, er antallet af sager stadig voksende, og folk fortsætter med at dø hver dag. Det er klart, at den eneste løsning er at massevaccinere befolkningen, hvilket naturligvis er meget vanskeligt i betragtning af det faktum, at en vaccine endnu ikke er opfundet.
Jo før vi har det, jo flere vil blive reddet, og du skulle tro, at i lyset af alt dette, vil verdens mest magtfulde nationer samle deres hjerneste specialister og få dem til at arbejde som et team, så vi kan få et fungerende vaccine så hurtigt som muligt. Du ville have forkert.
Da han talte om udviklingen af en vaccine mod det nye coronavirus, sagde John Demers, en assisterende retsadvokat for den amerikanske nationale sikkerhed, at den, der opretter vaccinen, vil have en "betydelig geopolitisk succeshistorie." Med andre ord antydede han, at dette er en konkurrence, og Storbritanniens National Cyber Security Center (NCSC) regner med, at nogle af konkurrenterne spiller snavset.
Table of Contents
Storbritannien, USA og Canada: Russerne angriber organisationer, der arbejder med en vaccine mod coronavirus
I går offentliggjorde NCSC en rapport, der også blev støttet af den canadiske sikkerhedsinstitution (CSE), det amerikanske departement for cybersikkerhedsinternet for cyber-sikkerhed infrastruktursikkerhedsagentur (DHS CISA) og det amerikanske sikkerhedsagentur (NSA). Det siger, at en gruppe af hackere kendt som APT29, Cosy Bear eller The Dukes har været målrettet mod sundhedsorganisationer, der arbejder på en COVID-19-vaccine i Canada, USA og Storbritannien.
Det betragtes som en kendt kendsgerning, at APT 29 er støttet af den russiske regering, og med rapporten beskylder Det Forenede Kongerige, USA og Canada Kreml for at forsøge at stjæle data relateret til forskning og udvikling af en COVID-19-vaccine.
APT29 er så formidabel som nogensinde
Rapporten nævner ingen af de målrettede organisationer, men den siger, at angrebene begyndte i begyndelsen af 2020 og fortsætter i dag. NCSC har også sammensat en temmelig detaljeret forklaring af, hvordan APT29-hackerne planlægger og udfører deres angreb.
Som mange andre hackingbesætninger udfører APT29 regelmæssige scanninger og samler intelligens på sårbare netværk, der står over for internettet. Hackerne er ikke målrettet mod alle systemer, de finder, men de holder sandsynligvis en fortegnelse over dem, så de kan hacke dem, hvis behovet opstår.
Det er sandsynligvis, hvordan de udpegede de IP'er, der skal angribes, da de blev bedt om at indsamle information om, hvor langt Vesten er gået i udviklingen af COVID-19-vaccinen.
For det meste kompromitteres målene ved hjælp af en liste over kendte sårbarheder i produkter fra Citrix, FortiGate, Pulse Secure, DRMra osv., Skønt rapporten også siger, at hackerne i nogle tilfælde indsamler loginoplysninger ved hjælp af sofistikeret spyd-phishing angreb. Når APT29 først er inde i netværket, bruger forskellige metoder til at opnå vedholdenhed og udsætter et par malware-stammer kaldet WellMess og WellMail.
APT29's valgte våben
WellMess er den ældste af de to malware-familier. Det dukkede op i 2018, men dette er første gang nogen har tilknyttet det med APT29. Det er opkaldt efter en af funktionerne i koden, og dets primære formål er at udføre shell-kommandoer og downloade og uploade data.
WellMail er en tidligere udokumenteret malware-familie, der kører kommandoer på den inficerede maskine og sender resultaterne tilbage til Command and Control (C&C) -serveren. Dets navn kommer fra den gentagne brug af ordet "mail" i koden såvel som det faktum, at det bruger serverport 25 til at kommunikere med C&C.
Rusland: Vi har ikke gjort noget
NCSC ser ud til at være overbevist om, at APT29 er ansvarlig for angrebet, og det må siges, at hvis det ikke var tillid til sine påstande, ville det sandsynligvis ikke have anbragt det i en offentligt tilgængelig rapport.
Rusland er dog ikke så opsat på at påtage sig ansvar. Ifølge BBC har en talsperson for præsident Vladimir Putin benægtet enhver forbindelse mellem Rusland og angrebene på vaccineudviklende organisationer. Derefter indrømmer verdens supermagter sjældent at bruge sofistikerede hackinggrupper til at spionere på andre lande, så denne erklæring bør sandsynligvis tages med en dosis skepsis.
I det tilfælde, hvad NCSC siger er sandt, angriber nogle af verdens mest dygtige hackere institutionerne, der er ansvarlige for at skabe en vaccine, der vil redde tusinder af liv. Lad os håbe, at angrebene ikke forstyrrer deres arbejde for meget.
