Tardigrade-malware brugt i angreb mod vaccineproducenter
I en nylig formel rådgivning til alle bioproducenter informerede Bioeconomy Information Sharing and Analysis Center (BIO-ISAC) om angreb udført i løbet af 2021, der var rettet mod "vaccinefremstillingsinfrastruktur".
Angrebene tilskrives en avanceret persistent trussel-aktør eller APT. Ifølge BIO-ISAC var den malware, der blev brugt i angrebene mod enheder, der fremstiller vacciner, særligt avanceret. Truslen er blevet døbt "Tardigrade", efter de spektakulært spændstige små dyr.
Undersøgelser af angrebene har vist, at Tardigrade-malwaren har overraskende egenskaber, herunder evnen til at tilpasse sig et skiftende miljø, skjule sine spor godt og vigtigst af alt - fungere på egen hånd uden at modtage input fra sine kommando- og kontrolservere.
Da det første angreb blev overvåget tilbage i april 2021, fandt forskerne ud af, at det var rettet mod en unavngiven "stor bioproduktionsfacilitet". Den samme malware blev senere brugt i et andet angreb mod en bioteknologisk enhed i oktober.
Dette er ikke den første cyberhændelse, der på en eller anden måde er relateret til Covid-19-vaccineproduktion og bestræbelserne på at tøjle pandemien generelt. Da Threatpost rapporterede om hændelserne og BIO-ISAC-rådgivningen, fremhævede Threatpost det nylige cyberangreb mod den indiske virksomhed, der producerer Ruslands Sputnik-vaccine, som blot et eksempel.
Tardigrade-malwaren deler nogle fælles funktioner og adfærd med SmokeLoader-bagdøren, men er meget mere autonom og i stand til sideværts bevægelse uden manuel input fra kommando- og kontrolserverne, hvilket virkelig er imponerende.
Selvom man troede, at Tardigrade var Cobalt Strike i et frisk lag maling, bekræftede flere kilder, at malwaren faktisk var et andet udyr, der havde mere til fælles med SmokeLoader end Cobalt Strike.
Enhver virksomhed, der arbejder inden for bioteknologi og især arbejder med Covid-19-relaterede produkter og vacciner, bør "antage, at de er mål", ifølge vejledningen udgivet af BIO-ISAC.